Trotz A-SIT Zertifizierung Sicherheitslücken im Bürgerkartensystem

Wie die quintessenz berichtet, ist das blinde Vertrauen in das Bürgerkartensystem nicht gerechtfertigt. Gestützt wird sich bei dieser Aussage auf einen Bericht des Seclab der TU Wien. Im Jahr 2006 haben Forscher Sicherheitslücken im von der A-SIT zertifizierten Bürgerkartensystem, das bei der kommenden ÖH-Wahl eingesetzt wird, ausfindig gemacht:

Forschern des Seclab der TU Wien gelang es, schwerwiegende Fehler in der – ebenfalls von der A-SIT zertifizierten – Bürkerkartenumgebung (BKU) ‚trustdesk basic‘ aufzuzeigen: Mit einem Demotrojaner gelang es, den Inhalt einer signierten Nachricht unbemerkt auszutauschen. Die Signatur – welche genau das verhindern sollte – erscheint trotzdem als gültig. Eine Funktion wie sie auch beim eVoting zum Schutz der abgegebenen Stimme benutzt wird.

Weiters gelang es dem Team eine von der Bürgerkarte eingerichtete sichere Session nach Ihrer Anmeldung zu entführen und von einem anderen Rechner fortzusetzen.

Die Forscher geben zu bedenken, dass die von Ihnen aufgezeigte und demonstrierte Sicherheitslücke auch in anderen Bürgerkartenumgebung realisierbar wäre. Die Hersteller hatten inzwischen genügend Zeit, Sicherungen gegen genau diese Angriffe einzubauen, das zugrundeliegende Problem der unsicheren Rechner bleibt jedoch bestehen.

Der vollständige Bericht wird von der A-SIT unter Verschluss gehalten. Eine stark gekürzte Version gibt es hier (.pdf).

Advertisements
Dieser Beitrag wurde unter e-voting abgelegt und mit , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Trotz A-SIT Zertifizierung Sicherheitslücken im Bürgerkartensystem

  1. Pingback: Trotz A-SIT Zertifizierung: Sicherheitslücken im Bürgerkartensystem « murdelta

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s