Mittwoch, 10. Januar 2018

Die Magie des "Umschlüsselns" und die Fiktion der Sicherheit

Ein Kernkonzept des beA ist das sogenannte "Umschlüsseln". Was verbirgt sich dahinter ?

Man möchte die Möglichkeit haben, daß Nachrichten auch nach dem Absenden an andere als die zunächst bestimmten Empfänger umgelenkt und von diesen auch gelesen werden können. Das ist natürlich das komplette Gegenteil einer Ende-zu-Ende-Verschlüsselung. Diese besagt schließlich per Definition, daß nur der vom Absender bestimmte Empfänger die Nachricht auch bekommen und entschlüsseln kann.

Zur Umsetzung hat man den verschlüsselten Weg in zwei verschiedene aufgebrochen:

Zunächst vom Sender in ein Schattenpostfach, dazwischen die "Umschlüsselung", dann weiter zum eigentlichen Empfänger. Während der "Umschlüsselung" liegt die Nachricht (bzw. der Inhaltsschlüssel, mit die eigentliche Nachricht verschlüsselt ist) zwischenzeitlich im Klartext vor.

Ist das nicht unsicher ? Ja, sehr sogar.

Hier kommt nun das HSM ins Spiel: das HSM ist eine kleine magische Box, welche private Schlüssel aufbewahrt, welche man dort - der Theorie nach - nicht rausbekommt. Die Box kann mit diesen nun eingegebene Daten ver- und entschlüsseln.

Das "Umschlüsseln" läuft (etwas vereinfacht) so:

Die Server-Software sucht aus ihre Datenbank die ID zum Schlüssel zum Schattenpostfachs sowie jene des aktuell festgelegten Empfängers heraus. Diese werden zusammen mit der (fürs Schattenpostfach) verschlüsselten Nachricht ins HSM eingegeben und dieses angewiesen, mit ersterem zu ent- und anschließend letzerem zu verschlüsseln (die Schlüssel selbst sind ja bereits im HSM). Heraus kommt die "umgeschlüsselte" Nachricht, die nur der aktuell bestimmte Empfänger lesen kann.

Ist das nun sicherer ? Nein, kein wenig.

Die Schwachstelle ist derjenige, der das HSM kommandiert. Eben jener kann gewillkürt von einem beliebigen Schattenpostfach auf einen beliebigen Empfänger "umschlüsseln".

Was braucht man für erfolgreichen Angriff ?

Wenig: Administrator-Privilegien auf o.g.  "Umschlüssel"-Server. Wenn man sorgfältig arbeitet, bekommen das die anderen/echten Administratoren nicht mit. Zumindest nicht, solange sie nicht sehr genau nach eben solchen Angriffen Ausschau halten.

Ergo:

Das HSM verhindert zwar - sofern es tatsächlich sicher aufgebaut ist (!) - das Entwenden von Schlüssel. Aber das ist zum Abhören überhaupt nicht nötig.

Snakeoil ! Der Zugewinn an Sicherheit durch das HSM nähert sich asymptotisch an Null an - und zwar von unten.

Es existiert keine Ende-zu-Ende-Verschlüsselung. Ein Ablauschen innerhalb der beA-Infrastruktur bzw. durch den Provider ist leicht möglich.

Broken-by-design.


Nachtrag:

Sicherlich werden nicht alle Schlüssel der Schattenpostfächer und tatsächlicher Empfänger permanent im HSM lagern, sondern bei Bedarf vom "Umschlüssel-Server" eingeladen. Die privaten Schlüssel der Schattenpostfächer sind für das HSM verschlüsselt (sodaß nur dieses sie entschlüsseln und verwenden kann), die öffentlichen Schlüssel brauchen selbstredend nicht verschlüsselt sein.

Kommentare:

  1. Das HSM schlüsselt nicht beliebig um. Sondern nur, wenn es eine vom Postfachbesitzer signierte Leseberechtigung in Form eines MAC (Message Authentication Code) mit der Ziel SAFE-ID bekommt.

    AntwortenLöschen
  2. @nekrad, was verbirg sich hinter HSM- Server, was ist das? welcher Hersteller? ohne dieses wissen sind Angriffe auf HSM nutzlos.

    AntwortenLöschen