Security-Analyse: SuisseID birgt Gefahren

Zwei Sicherheitsexperten haben am Securityzone-Kongress in Zürich die SuisseID auf Herz und Nieren geprüft und dabei enthüllt, wie unsicher sie ist.

von Jens Stark 23.09.2010

    Zoom Wie sicher ist die SuisseID wirklich? Diese Frage haben die beiden Sicherheitsexperten Max Moser und Thorsten Schröder vom Berner Security-Spezialisten Dreamlab an der Securityzone in Zürich zu beantworten versucht. Demnach ist der in der SuisseID verwendete Kryptochip laut den Experten «heute state of the art». Auch das Zertifikat sei sicher wie jedes andere.

Sorgen bereiten den beiden dagegen die Anwendungen und Prozesse, die mit dem Stick ausgeführt werden und ohne die er keinen Mehrnutzen bieten würde. Diese Applikationen, von denen es laut Moser und Schröder noch zu wenige gibt, um ein entgültiges Urteil über die Sicherheit der SuisseID zu fällen, seien dagegen unsicher. «Nochmals, das ist nicht das Problem des Chips oder des Zertifikats», betont Schröder.

Gefahrenherd PC

Max Moser, Dreamlab Max Moser, Dreamlab Zoom Hauptproblem der SuisseID wie übrigens auch vieler E-Banking-Absicherungsverfahren ist es laut den Experten, dass sie mit dem PC interagieren und schlussendlich dort ihre Anwendungen ausführen müssen. «Meine Smartcard muss mit dem PC, der eigentlich ziemlich unsicher ist, kommunizieren», meint Schröder. Im Falle der SuisseID geschieht dies über USB. «Von allen Providern der SuisseID wird derzeit für den Datentransfer ein Class-1-Laser benutzt», erklärt Moser. «Diese haben nahezu keine Sicherheitsmerkmale», gibt er zu bedenken. «Das heisst, der Class-1-Laser verbindet die Smartcard mit dem PC. Punkt», meint er.

Zwar sei eine Software-basierte Schutzschicht auf der SuisseID implementiert, räumt Schröder ein. «Wer garantiert mir aber, dass diese Software nicht verändert wurde. Vielleicht hat jemand - beispielsweise während der Mittagspause - meinen Stick ausgeliehen und mit einem 'Update' versehen», gibt er weiter zu bedenken.

Thorsten Schröder, Dreamlab Thorsten Schröder, Dreamlab Zoom Ein weiteres Probleme ist etwa ein möglicher Missbrauch des Zertifikats selbst. So wird dem Anwender eine Liste mit möglichen Zertifikatsstellen gezeigt. Klickt er nicht spezifisch jene sichere von SuisseID an, so könne ein Hacker auch via Verisign, deren Zertifikate einfacher erhältlich sind, für die SuisseID eine sichere Umgebung vortäuschen.

Des weiteren zeigten das White-Hat-Duo wie ein mit der elektronischen Unterschrift der SuisseID signiertes PDF-Dokument nachträglich verändert werden konnte. So gelang es, in einem Vertrag über einen Motorradkauf nachträglich das Bild auszuwechseln. «Das Problem ist, dass das PDF-Format so komplex ist und jeder Reader seine eigene Interpretation des Formats hat», erklärt Schröder. «Allein die Spezifikationen für PDF umfassen 2000 Seiten», unterstreicht er seine Aussage zur Komplexität.

Die Ergebnisse des SuisseID-Checks werden Schröder und Max demnächst im Internet publizieren.


    Kommentare

    • maec 23.09.2010, 16.02 Uhr

      Das grösste Sicherheitsrisiko bei solchen Verfahren sitzt immer noch VOR dem Computer. Und wenn der Nutzer bei seiner PC-Sicherheit so wenig mitdenkt, wie der Autor dieses Artikels - es geht nicht um LAser sondern um LEser, muss man sich nicht wundern, wenn Missbräuchen Tür und Tor offen stehen.

    • coceira 23.09.2010, 16.13 Uhr

      Im Falle der SuisseID geschieht dies über USB. «Von allen Providern der SuisseID wird derzeit für den Datentransfer ein Class-1-Laser benutzt», erklärt Moser. «Diese haben nahezu keine Sicherheitsmerkmale», gibt er zu bedenken. «Das heisst, der Class-1-Laser verbindet die Smartcard mit dem PC. Punkt», meint er.wir sind entwicklungsland, hier funktioniert usb mit kupferdraht und das lesen von smartcards geht ueber bestenfalls vergoldete kontakte. ich habe leider keine weiteren infos gefunden[...]

    • LMS 25.09.2010, 15.08 Uhr

      Ein weiteres Probleme ist etwa ein möglicher Missbrauch des Zertifikats selbst. So wird dem Anwender eine Liste mit möglichen Zertifikatsstellen gezeigt. Klickt er nicht spezifisch jene sichere von SuisseID an, so könne ein Hacker auch via Verisign, deren Zertifikate einfacher erhältlich sind, für die SuisseID eine sichere Umgebung vortäuschen. Da verstehe ich nicht ganz, welche Chancen sich hierdurch für einen "Hacker" ergeben. Es geht ja primär um die Benutzerauthentifizierung einer Anwendu[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.