Tag Archives: seclab

Trotz A-SIT Zertifizierung: Sicherheitslücken im Bürgerkartensystem

papierwahl1
(dieser beitrag ist auch auf papierwahl.at zu lesen)

Wie die quintessenz berichtet, ist das blinde Vertrauen in das Bürgerkartensystem nicht gerechtfertig. Gestützt wird sich bei dieser Aussage auf einen Bericht des Seclab der TU Wien. Im Jahr 2006 haben Forscher Sicherheitslücken im, von der A-SIT zertifizierten, Bürgerkartensystem ausfindig gemacht:

Forschern des Seclab der TU Wien gelang es, schwerwiegende Fehler in der – ebenfalls von der A-SIT zertifizierten – Bürkerkartenumgebung (BKU) ‘trustdesk basic’ aufzuzeigen: Mit einem Demotrojaner gelang es, den Inhalt einer signierten Nachricht unbemerkt auszutauschen. Die Signatur – welche genau das verhindern sollte – erscheint trotzdem als gültig. Eine Funktion wie sie auch beim eVoting zum Schutz der abgegebenen Stimme benutzt wird.

Weiters gelang es dem Team eine von der Bürgerkarte eingerichtete sichere Session nach Ihrer Anmeldung zu entführen und von einem anderen Rechner fortzusetzen.

Die Forscher geben zu bedenken, dass die von Ihnen aufgezeigte und demonstrierte Sicherheitslücke auch in anderen Bürgerkartenumgebung realisierbar wäre. Die Hersteller hatten inzwischen genügend Zeit, Sicherungen gegen genau diese Angriffe einzubauen, das zugrundeliegende Problem der unsicheren Rechner bleibt jedoch bestehen.

Der vollständige Bericht wird von der A-SIT unter Verschluss gehalten. Eine stark gekürzte Version gibt es hier (.pdf).