Der CA-Supergau

Ups, da geht gerade mal der letzte Funke Vertrauenswürdigkeit der kommerziellen IT-Gesellschaft verloren und die breite Masse bekommts noch nicht mal mit :-D…. Wie gibts den sowas?

Ich glaube hier muss man erstmal kurz die Grundlagen klären. Nachdem das WWW erfunden war, ging es in der nächsten Stufe gleich darum, wie kann man sowas fürs Business benutzen? Für Banken bot sich das WWW fürs Online-Banking an, und als Plattform für Online-Shops ist das WWW natürlich auch verlockend. Um zumindest einen gewissen Grad von Sicherheit zu gewährleisten erfand die Firma Netscape damals die erste Version von SSL. SSL wird zum Beispiel bei HTTPS verwendet – wir erinnern uns das war die Geschichte mit diesem kleinen Schloss wenn man im Web-Browser Online-Banking macht.

Der IT-Experte hatte bei dem netten Schlösschen ja schon immer ein ziehen in der Magengegend, seit kurzem kann man dieses Schlösschen aber getrost in die Tonne kippen!

Wir machen am besten mal ein Beispiel und gehen auf die Webseite https://www.bund.de/DE/Home/homepage_node.html. Jeder Web-Browser bietet irgendwo die Möglichkeit sich das Zertifikat für diese Webseite anzusehen. Für www.bund.de sieht das etwa so aus (Text verkürzt):

Certificate Data:
  Version: 3 (0x2)
  Serial Number:
      e9:44:00:01:00:02:e8:5b:37:3c:fb:81:1c:3e
  Signature Algorithm: sha1WithRSAEncryption
  Issuer: C=DE, O=TC TrustCenter GmbH, 
          OU=TC TrustCenter Class 2 L1 CA, 
          CN=TC TrustCenter Class 2 L1 CA XI
  Validity
      Not Before: Mar 24 08:30:02 2011 GMT
      Not After : Jun 22 07:29:44 2014 GMT
  Subject: C=DE, ST=NRW, L=Koeln, O=Bundesverwaltungsamt, 
           OU=BIT B 5, CN=www.bund.de
  Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
          Public-Key: (2048 bit)
  X509v3 extensions:
    X509v3 Authority Key Identifier: 
      keyid:66:B3:C6:91:F9:B6:CD:B2:5F:9A:
            37:56:46:0C:E2:6B:D5:B1:7C:B4
    X509v3 Subject Key Identifier: 
      24:9E:C0:C7:F8:17:EE:47:B3:51:B5:1B:0B:58:8A:54:B7:DC:85:4D
    X509v3 Extended Key Usage: 
        TLS Web Server Authentication, TLS Web Client Authentication
    Netscape Cert Type: 
        SSL Client, SSL Server
    X509v3 Subject Alternative Name: 
        email:it-sicherheit@bva.bund.de, DNS:www.bund.de, 
        DNS:editor.bund.de, DNS:m.bund.de, DNS:bund.de

Wichtig ist für wenn das Zertifikat ausgestellt wurde (Subject) und wer es ausgestellt hat (Issuer). In meinem Beispiel wurde das Zertifikat von der Firma TrustCenter GmbH für das Bundesverwaltungsamt ausgestellt. Den Issuer nennt man auch CA – (Certificate Authority / Zertifizierungsstelle). D.h. die Zertifizierungsstelle ist im Prinzip die Wurzel für die gesamte Vertrauenswürdigkeit dieses Systems. Hihihi, und jetzt kommt die Preisfrage – Was passiert wenn jemand mal eben Vollzugriff auf so eine Zertifizierungsstelle erlangt und beliebige Zertifikate ausstellen kann?

Tja und seit Fukushima sprechen wir ja nur noch von Supergau wenn es gleich an mehreren Stellen knallt und so ist es hier auch:

Das is halt wieder so ein Hacker-Thema? nene, leider nicht! Zumindest in den Niederlanden bebt gerade gewaltig die Erde. Und zwar so heftig (heise.de): Niederländische Regierung übernimmt Kontrolle über DigiNotar.

Tja und weils so schön ist, bei dem Thema ist eben mit Internet-Sicherheit alleine noch lange nicht Schluss. Genau die gleichen Zertifikate, Firmen und Technologien werden zum Beispiel bei folgenden Vorzeigeprojekten ebenfalls eingesetzt:

Ich hatte in einem der letzten Posts geschrieben das vieles in der modernen IT auf Sand gebaut ist. In diesem Fall muss ich mich korrigieren, es ist wohl eher Treibsand!

Elektronische Gesundheitskarte eGK – jetzt gehts los

Ach, es gibt so viele Themen über die es sich lohnen würde zu schreiben. Wenn da nur nicht das Zeitproblem wäre… aber nach dem ich ein Blogger-freundliches Hotelzimmer mit Espresso-Maschine bekommen habe, wird es Zeit das ich etwas über die Elektronische Gesundheitskarte (eGK) schreibe.

Eigentlich ist mir das Thema schon sehr lange bekannt, da ich damals (2005) bei dem super Vortrag von Thomas Maus auf dem 22C3 – Elektronische Gesundheitskarte und Gesundheitstelematik – 1984 reloaded? war. Tja, und letzte Woche kommt doch nun ein Schreiben von meiner Krankenkasse mit der Bitte um ein Foto für die neue Gesundheitskarte….

Aber der Reihe nach, was ist den so schlimm an der eGK? Das Gesundheitswesen in Deutschland ist ja sympthomatisch für die politische Lage. Da gibt es unterschiedlichste Interessengruppen und jeder möchte DAS BESTE für sich selber. Krankheit ist eben ein krisensicheres Geschäft – eine gute Lobby vorausgesetzt :-). In IT-Projekten potenzieren sich solche “systembedingten” Probleme dann gerne mal zum informationstechnischen Super-GAU. Aber hey, was kann schon viel schief gehen – sind ja nur die Patientendaten.

Was macht mich den so sicher, das dieses Projekt schief laufen wird? Dazu einfach eine kleine Auswahl an Schlagzeilen der letzten Monate:

Zur Gesundheitskarte gibts jede Menge Hintergrundinfos:

Ich für meinen Teil mache erstmal überhaupt nichts! Meine alte Karte ist noch bis Ende 2015 gültig. Bis dahin hat sich der Spassfaktor der Gesundheitskarte schon voll entfaltet… Wenn man kein Bild schickt sollte es zumindest zunächst keine Kosequenzen geben (krankenkassen-direkt.de – Anforderung biometrischer Fotos für E-Card zweifelhaft)