Tag Archives: buergerkarte

Trotz A-SIT Zertifizierung: Sicherheitslücken im Bürgerkartensystem

papierwahl1
(dieser beitrag ist auch auf papierwahl.at zu lesen)

Wie die quintessenz berichtet, ist das blinde Vertrauen in das Bürgerkartensystem nicht gerechtfertig. Gestützt wird sich bei dieser Aussage auf einen Bericht des Seclab der TU Wien. Im Jahr 2006 haben Forscher Sicherheitslücken im, von der A-SIT zertifizierten, Bürgerkartensystem ausfindig gemacht:

Forschern des Seclab der TU Wien gelang es, schwerwiegende Fehler in der – ebenfalls von der A-SIT zertifizierten – Bürkerkartenumgebung (BKU) ‘trustdesk basic’ aufzuzeigen: Mit einem Demotrojaner gelang es, den Inhalt einer signierten Nachricht unbemerkt auszutauschen. Die Signatur – welche genau das verhindern sollte – erscheint trotzdem als gültig. Eine Funktion wie sie auch beim eVoting zum Schutz der abgegebenen Stimme benutzt wird.

Weiters gelang es dem Team eine von der Bürgerkarte eingerichtete sichere Session nach Ihrer Anmeldung zu entführen und von einem anderen Rechner fortzusetzen.

Die Forscher geben zu bedenken, dass die von Ihnen aufgezeigte und demonstrierte Sicherheitslücke auch in anderen Bürgerkartenumgebung realisierbar wäre. Die Hersteller hatten inzwischen genügend Zeit, Sicherungen gegen genau diese Angriffe einzubauen, das zugrundeliegende Problem der unsicheren Rechner bleibt jedoch bestehen.

Der vollständige Bericht wird von der A-SIT unter Verschluss gehalten. Eine stark gekürzte Version gibt es hier (.pdf).

at: neue (alte) regierung hat sich disqualifiziert

das hat nicht lange gedauert und schon disqualifiziert sich oesterreichs neue (alte) koalition vollstaendig. gut es hat sich auch nicht viel geaendert – ein paar andere politiker (zb: keinrueckgrat-gusenbauer wurde durch wiesel-faymann ersetzt), neue ministerienverteilung unter den parteien und das wars. die sicherheitsstrategie wurde beibehalten (vielleicht sogar noch verschaerft).
so laesst beispielsweise wiesel-faymann verlautbaren, dass wir ach so terrorismusgefaehrdet sind und das nur die online-durchsuchung uns retten wird. damit werden wieder alte, unhaltbare propagandaluegen ohne verstand nachgeplappert. aber seien wir mal ehrlich, wer haette was anders erwartet.

um mal ein wenig auf die einzelnen punkte zu kommen:

“Die Netzwerke des Terrors arbeiten mit den modernsten Kommunikationstechnologien”, heißt es im Programm der Regierung Faymann. Die Lösung: Online-Durchsuchung ermöglichen.
[…]
Unter dem Punkt “Datenschutz” legt die Koalition die Absicht fest, die Datenschutzkommission (DSK) dann auszuschalten, “wenn die Kriminalpolizei im Dienste der Strafrechtspflege tätig wird”. Weiterhin soll, wie schon von der Vorgängerregierung geplant, das Datenschutzgesetz angepasst werden.
[…]
In Sachen Datenbanken hat die neue Regierung einiges vor. So soll, im Bereich “Sicherheitsverwaltung” angesiedelt, “ein neues elektronisches Personenstandsregister” eingerichtet werden,
[…]
will die neue Regierung die “Zusammenarbeit mit Schengen-Partnern” weiter ausbauen und auf die “Errichtung gemeinsamer Visa- und Biometriezentren” hinarbeiten. In diesem Zusammenhang solle auch die “Zusammenarbeit mit externen Dienstleistern (Outsourcing)” geprüft werden.
[…]
Ausbau des elektronischen Gesundheitssystems
[futurezone]

desweiteren soll eine “dna-offensive” gestartet werden, zu konkreten e-voting plaenen will man sich noch nicht aeussern (was man im zweifelsfall als ein ja deuten koennte) und die supertolle buergerkarte die *einwandfrei* funktioniert soll weiter gepusht werden. und noch einiges mehr…

zum kotzen diese regierung – die genauso verstandlos agiert wie die alte – nicht wahr?

buergerkarte unbenutzbar – dafuer aber jetzt mit wurzelzertifikat

die buergerkarte ist so ein ding, dass mir bisher ziemlich egal war. zum einen auch in dem (begruendeten) verdacht, dass das technisch ohnehin noch schrottig sein wird.

das ist es anscheinend tatsaechlich noch. electrobabe hat mal versucht das zeug mitsamt benoetigter software zum laufen zu bringen. der bericht ist bebildert und liest sich teilweise sehr unterhaltsam :)

…schon kommt die erste aufforderung. ok, ich installiere ein sogenanntes wurzelzertifikat!
[…]
irgendwas stimmt nicht. drücken wir sicherheitshalber mal “Ja”. man will ja nicht so negativ klingen
[…]
trotz zertifikaten ohne ende und verschlüsselung werden jetzt daten unverschlüsselt geschickt!
[alles lesen]

hahahaha… “wurzelzertifikat”. eins zu eins uebersetzungen tragen ja im allgemeinen sehr stark zur unterhaltung bei. bin gespannt wann dann auch linux demnaechst nach seinen “wurzelrechten” fragen wird.

so wie aussieht scheint sich noch nicht mal die benoetigte software ohne probleme installieren zu lassen. aber alle buerger (auch solche die gerade mal den einschaltknopf am rechner finden) sollen diese super-tolle karte unbedingt nutzen. weil oesterreich ist ja schliesslich modern und ganz vorne dabei und dass irgendwann zwischendurch daten auch mal unverschluesselt versendet werden, ist sicherlich auch nur ein bedauerlicher fehler, der gar nicht so schlimm ist. wenn das ding erstmal haben, werden grossartige zeiten anbrechen….

ich wuerde das ding nicht mal jemanden andrehen wollen, der wenigstens ein bisschen ahnung von dem hat, was er da so vorm rechner macht. was da bei der softwareinstallation abzugehen scheint, ist echt nicht mehr schoen. zumal es sich bei der buergerkarte um einen aeusserst sensiblen bereich handelt. mir ist daher auch voellig unverstaendlich wie man so ein wichtiges projekt dermassen scheisse und fuer den endanwender nicht nutzbar umsetzen kann. nur gut, dass die funktionen der buergerkarte (wie man sieht, zu recht) noch nicht so viel genutzt werden.
achso uebrigens, die von itsolution haben diesen krampf verbrochen. damit ist fuer mich das thema erstmal wieder in weite ferne gerueckt. zumal ich auch keine lust haette mir dafuer extra nochmal ein kartenlesegeraet zu kaufen.

ha – liebe deutsche, nicht nur ihr koennt it-grossprojekte scheisse umsetzen. die oesterreicher haben das mindestens genauso gut drauf ;)

update 05-11-2008
es geht weiter. anscheinend war die gueltigkeit der buergerkarte abgelaufen. deshalb hat das mit den zertifikaten nicht geklappt. aber es waere ja kein super hippes e-government, wenn bei einer reaktivierung der karte nicht auch noch probleme auftauchen wuerden. aber lest selbst.
oh mann, haben die das ganze konzept dahinter verschlampt. ich glaube es nicht. wie soll man sowas blos jemals als “normaler” nicht technikaffiner buerger problemlos hinbekommen?
haetten andere so minderwertiges zeugs abgeliefert, waeren die zu recht schon lange pleite gegangen…