News 23.09.2010, 10:45 Uhr

Security-Analyse: SuisseID birgt Gefahren

Zwei Sicherheitsexperten haben am Securityzone-Kongress in Zürich die SuisseID auf Herz und Nieren geprüft und dabei enthüllt, wie unsicher sie ist.
Wie sicher ist die SuisseID wirklich? Diese Frage haben die beiden Sicherheitsexperten Max Moser und Thorsten Schröder vom Berner Security-Spezialisten Dreamlab an der Securityzone in Zürich zu beantworten versucht. Demnach ist der in der SuisseID verwendete Kryptochip laut den Experten «heute state of the art». Auch das Zertifikat sei sicher wie jedes andere.
Sorgen bereiten den beiden dagegen die Anwendungen und Prozesse, die mit dem Stick ausgeführt werden und ohne die er keinen Mehrnutzen bieten würde. Diese Applikationen, von denen es laut Moser und Schröder noch zu wenige gibt, um ein entgültiges Urteil über die Sicherheit der SuisseID zu fällen, seien dagegen unsicher. «Nochmals, das ist nicht das Problem des Chips oder des Zertifikats», betont Schröder.
Gefahrenherd PC
Max Moser, Dreamlab
Hauptproblem der SuisseID wie übrigens auch vieler E-Banking-Absicherungsverfahren ist es laut den Experten, dass sie mit dem PC interagieren und schlussendlich dort ihre Anwendungen ausführen müssen. «Meine Smartcard muss mit dem PC, der eigentlich ziemlich unsicher ist, kommunizieren», meint Schröder. Im Falle der SuisseID geschieht dies über USB. «Von allen Providern der SuisseID wird derzeit für den Datentransfer ein Class-1-Laser benutzt», erklärt Moser. «Diese haben nahezu keine Sicherheitsmerkmale», gibt er zu bedenken. «Das heisst, der Class-1-Laser verbindet die Smartcard mit dem PC. Punkt», meint er.
Zwar sei eine Software-basierte Schutzschicht auf der SuisseID implementiert, räumt Schröder ein. «Wer garantiert mir aber, dass diese Software nicht verändert wurde. Vielleicht hat jemand - beispielsweise während der Mittagspause - meinen Stick ausgeliehen und mit einem 'Update' versehen», gibt er weiter zu bedenken.
Thorsten Schröder, Dreamlab
Ein weiteres Probleme ist etwa ein möglicher Missbrauch des Zertifikats selbst. So wird dem Anwender eine Liste mit möglichen Zertifikatsstellen gezeigt. Klickt er nicht spezifisch jene sichere von SuisseID an, so könne ein Hacker auch via Verisign, deren Zertifikate einfacher erhältlich sind, für die SuisseID eine sichere Umgebung vortäuschen.
Des weiteren zeigten das White-Hat-Duo wie ein mit der elektronischen Unterschrift der SuisseID signiertes PDF-Dokument nachträglich verändert werden konnte. So gelang es, in einem Vertrag über einen Motorradkauf nachträglich das Bild auszuwechseln. «Das Problem ist, dass das PDF-Format so komplex ist und jeder Reader seine eigene Interpretation des Formats hat», erklärt Schröder. «Allein die Spezifikationen für PDF umfassen 2000 Seiten», unterstreicht er seine Aussage zur Komplexität.
Die Ergebnisse des SuisseID-Checks werden Schröder und Max demnächst im Internet publizieren.


Kommentare

Avatar
coceira
23.09.2010
expat frage Im Falle der SuisseID geschieht dies über USB. «Von allen Providern der SuisseID wird derzeit für den Datentransfer ein Class-1-Laser benutzt», erklärt Moser. «Diese haben nahezu keine Sicherheitsmerkmale», gibt er zu bedenken. «Das heisst, der Class-1-Laser verbindet die Smartcard mit dem PC. Punkt», meint er.wir sind entwicklungsland, hier funktioniert usb mit kupferdraht und das lesen von smartcards geht ueber bestenfalls vergoldete kontakte. ich habe leider keine weiteren infos gefunden, kann mir jemand weitere infos anbieten zu dem system swisscard, vor allem usb,smartcard und laser besonders auch zu sicherheitsmerkmalen von lasern nachtrag oder der AHA-effekt aus dem originaltext Warum ist es in Deutschland anscheinend so, dass der nPA mit dem Klasse1 Leser nicht für die Signatur gültig sein wird? Warum ist es aber anscheinend bei uns so ok? ein ganz kleiner unterschied laser oder leser

Avatar
LMS
25.09.2010
Ein weiteres Probleme ist etwa ein möglicher Missbrauch des Zertifikats selbst. So wird dem Anwender eine Liste mit möglichen Zertifikatsstellen gezeigt. Klickt er nicht spezifisch jene sichere von SuisseID an, so könne ein Hacker auch via Verisign, deren Zertifikate einfacher erhältlich sind, für die SuisseID eine sichere Umgebung vortäuschen. Da verstehe ich nicht ganz, welche Chancen sich hierdurch für einen "Hacker" ergeben. Es geht ja primär um die Benutzerauthentifizierung einer Anwendung gegenüber, damit der Betreiber weiss, dass ich als Benutzer tatsächlich derjenige bin, für den ich mich ausgebe. Wenn ich mich nun gegenüber einer Webapplikation eines "Hackers" authentifiziere und so meine persönlichen Daten preis gebe, dann bin ich ja selber schuld. Ausser die Dienstleistung, die ich als Benutzer beanspruchen will, täuscht andere Absichten vor. Aber das ist ja wieder ein ganz anderes Problem und hat mit SuisseID nicht direkt etwas zu tun. Jeder kann ja eine Webapplikation betreiben und für das Login vorschreiben, dass nur Benutzer mit SuisseID Zertifikat hineingelassen werden. Was für Absichten die Webapplikation hat, ist ja nicht Aufgabe der SuisseID Provider dies zu kontrollieren. Vielleicht weiss jemand mehr dazu und kann nähere Erklärungen geben. Gruss LMS