tom's networking guide
 
Anzeige
Imperva zur Folge müssen Unternehmen Kreditkarten-Daten besser schützen >
< Fluke Networks übernimmt die Web-Site von AirMagnet
01.05.11 20:41 Alter: 11 Jahre
Kategorie: Security, Verschlüsselung, Digital Lifestyle, Top-News
Von: Arno Kral / Nina Eichinger

Mit fairCASH wär' das nicht passiert: Signierte Nikon-Images doch fälschbar

Laut ElcomSoft Co. Ltd. weist das Nikon Image Authentication Systems eine erhebliche Sicherheitslücke auf.


Spion Orange (©: Dino-Verlag)

München – Eine Untersuchung des des Nikon Image Authentication Systems durch ElcomSoft Co. Ltd. hat eine Untersuchung  durchgeführt. Dieses rund 500 € teure Programmpaket dient der Echtheitsprüfung (Authentication) der mit Nikon-Kameras aufgenommenen Fotos. Die ElcomSoft-Untersuchung förderte eine beträchtliche  Sicherheitslücke zutage. Sie erlaubt es Cyber-Kriminellen gefälschte Bilder mit einer Signatur zu erstellen, die dennoch die Prüfung mit der Nikon Image Authentication Software bestehen. Die Schwachstelle liegt laut ElcomSoft im Umgang mit dem verwendeten Sicherheits-Signaturschlüssel der Nikon-Digitalkameras. Die berühmtesten Foto-Fälschungen, zeigt eine (englische) Web-Seite von ElcomSoft.

Der Heise-News-Ticker schreibt dazu in einer Meldung vom 28. April 2011: "Mit dem digitalen Signierschlüssel und etwas Hintergrundwissen kann man das nun nachträglich auf dem Rechner erledigen – unabhängig davon, aus welcher Quelle das Bild stammt und wie oft es nachbearbeitet wurde. Das System ist damit hinfällig."

Das aktuell verfolgte Konzept von Nikon und anderen Kameraherstellern basiert unter anderem darauf, das in der Kamera immer der gleiche Signatur-Schlüssel verwendet wird. Somit ist es für die Entwertung des gesamten Systems ausreichend, nur eine einzige Kamera „zu hacken“, um eben diesen (immer identischen) Schlüssel zu erhalten. Ideal wäre es, wenn diese dann nach ihrem „Bekanntwerden“ von Nikon zurückgezogen werden könnten (Revocation). So wäre zumindest ausgeschlossen, das geknackte Systeme zur vollständigen Systementwertung verwendet werden könnten. Um derlei zu bewerkstelligen sind allerdings einige „Anleihen“ in der Kryptografie bei den asymmetrischen Gruppenschlüsselverfahren erforderlich, was technisch ebenfalls einigen Background erfordert.

Bereits im Ende 2010 hatte ElcomSoft nachweisen können, dass das Sicherheits-System OSK-E3 (Canon Original Data Security Kit) des Nikon-Mitbewerbers Canon wertlos ist. Eigentlich soll es dazu dienen, nachträgliche Manipulationen in Bildern aufzudecken und Aufnahmedatum und -ort eindeutig zu verifizieren. Obwohl OSK-E3 aus einer SmartCard und spezieller Software besteht, um digital signierte Bilder zu verifizieren, ist es doch verwundbar, so dass gefälschte Bilder ebenfalls den OSK-E3-Sicherheits-Check bestünden (siehe Foto "Russen auf dem Mond"). 

Mit fairCASH wär' das nicht passiert!

Stünde die neue Sicherheitstechnologie bereits zur Verfügung, könnten auch Nikon-Kameras einen fairCASH-Nanotresor enthalten, der die in ihm hinterlegten Geheimnisse, etwa ein Authentication-Zertifikat, durch keine erdenkliche Massnahme (Reverse Engineering, Röntgen, Aufbrechen, etc.) wirtschaftlich mehr herausrücken würde. Zwar verfolgt die neue fairCASH-Technologie in erster Linie das Ziel, Bargeld mit all seinen Attributen wie 

  • Anonymität,
  • Peer-to-Peer-Fähigkeit und
  • Offline-Fähigkeit, ergänzt um 
  • automatisch erzeugte, rechtskräftige Quittungen,

Internet-fähig zu machen. Doch elektronische Münzen, so genannte eCoins, sind per se nichts anderes als digitale Zertifikate auf Basis einer PKI-Infrastruktur.

fairCASH-Erfinder Dr.-Ing. Heinz Kreft erklärt dazu im Telefon-Interview mit dem Tom's Networking Guide (tng): "Wir verfolgen mit unserer Technologie das Ziel, Nano-Tresore in jedes mobile Endgerät zu bringen, wie das bereits mit  GPS-Chips in SmartPhones heute gang und gäbe ist. Durch unsere Nano-Tresor-Technik, der das Konzept der Physically Uncloneable Function, kurz: PUF, zugrunde liegt, wird es für Hacker wirtschaftlich vollkommen uninteressant, sich Zugang zum Innersten unserer Sicherheitstechnik zu verschaffen. Denn selbst wenn EIN Nano-Tresor geknackt werden würde, was enormer Anstrengungen bedarf und nach unserem heutigen Wissen wirtschaftlich gar nicht durchführbar ist, würden die dabei gewonnen Erkenntnisse absolut nichts dabei helfen, einen zweiten oder dritten Nano-Tresor zu knacken. So genügt uns zur dezentralen Verteilung von Zertifikaten sogar eine offen gelegte PKI-Infrastruktur."

Die fairCASH-Technologie steht bis dato leider nur auf dem Papier zur Verfügung, und ihre Realisierung wird rund vier Jahre in Anspruch nehmen. Aber auch Nikon-Kunden müssen sich wohl gedulden: "Würde Nikon das Problem offiziell bestätigen, hätte das weitreichende Folgen: Der Hersteller müsste den alten Schlüssel aus dem Verkehr ziehen und einen Weg finden, den einen neu erzeugten sicher in der Kamera abzuspeichern. Anschließend wären Updates der Windows-Anwendung und sämtlicher unterstützter Kameras nötig. Nach Einschätzung der Sicherheitsexperten wird Nikon daher mit dem Problem umgehen, wie schon Canon zuvor: Abwarten und Tee trinken", schließt die Heise-Meldung.

Abhilfe müsste laut Dr.-Ing. Heinz Kreft grundsätzliche Natur sein: "Da würde man wohl nicht nur das aktuell als unsicher nachgewiesene Einschluss-Prinzip durch einen Nano-Tresor austauschen, sondern auch noch das Verfahren soweit abändern wollen, das eben NICHT alle Signaturschlüssel GLEICH sind". 


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige