Keinen wirklichen Talk, sondern eine technische Abrechnung im engeren Kreis (Stichwort: „einfach.digital.kaputt“) lieferten Markus Drenger und Felix Rohrbach über das beA (besondere elektronische Anwaltspostfach), welches (irgendwann!) eine sichere und fristwahrende Kommunikation von Anwälten vor allem mit Gerichten und Behörden ermöglichen soll. Wir haben bereits hier über einige Sicherheitspannen berichtet.
Markus Drenger und Felix Rohrbach haben das IFG (Bereitstellung von Informationen zum System) sowie das BDSG (Bereitstellung des Verfahrensverzeichnisses) bemüht und das beA aus technischer Sicht unter die Lupe genommen. Die wesentlichen technischen Schwachstellen seien hier noch einmal zusammengefasst:
– Es soll keine Ende-zu-Ende-Verschlüsselung existieren: Grundsätzlich werde der Inhalt von versendeten E-Mails im HSM (High Security Module), das zwischen Empfänger und Adressat vermittelt, entschlüsselt und dann vor Verteilung erneut verschlüsselt. Eine wirkliche Ende-zu-Ende-Verschlüsselung finde damit nicht statt; die private keys seien also im HSM abgelegt.
– Per Update wurde die root CA verteilt, allerdings nicht mit dem öffentlichen, sondern dem privaten Schlüssel. Dies ermöglicht es nun, beliebige weitere Zertifikate auszustellen.
– Abgerundet werden die Probleme durch die Unterstützung veralteter Betriebssysteme (etwa OS X 10.11, Support endet voraussichtlich Herbst 2018; SUSE 13.2, Support abgelaufen) und Libraries sowie durch die Erforderlichkeit, angemessene Sicherheitsstandards für die Nutzung zu senken (Pop-Up-Fenster erlauben etc.).
Für jeden der sich eingehender mit den technischen Details befassen möchte, empfehlen wir die Aufzeichnung des Vortrags. Wir verlinken diese hier, sobald sie online gestellt ist.
Andreas
29. Dezember 2017 @ 15:16
Offiziell, also vom CCC, wirds das nicht geben soweit ich weiß.
Der Talk wurde aber von J. E. aufgezeichnet und per fb zur Verfügung gestellt
https://www.facebook.com/erbguth/videos/10155599090484219/
Hab es mir nur bis zur 30. Minute angehört, die Agenda war dann doch auf das Hauptthema beschränkt 😉
Martin Kolodziej
29. Dezember 2017 @ 11:08
Guten Tag,
interessanter Punkt. Ich meine, hierauf ging der Referent nicht ein; ich werde die Aufzeichnung allerdings noch einmal in Ruhe sichten, sobald sie online ist, und mich gegebenenfalls korrigieren.
Anonymous
28. Dezember 2017 @ 23:27
Gerüchteweise wurde für das beA auch Code verwendet, der vom Autor unter den AGPL-Nutzungsbedingungen bereitgestellt wird. Dies könnte einen Anspruch auf Herausgabe des modifizierten Quellcodes begründen (und im Übrigen für weitere Kalamitäten sorgen). Ging der Referent auf diesen Punkt ein?