Estland wird gerne als Vorreiter der Digitalisierung genannt. Eine Chipkarte auf estnischen Personalausweisen kann unter anderem genutzt werden, um viele Behördengänge elektronisch zu erledigen. Auch an Wahlen können die Bürger mit ihrem Ausweis online teilnehmen.

Kern des estnischen Personalausweises ist ein Chip, der verschiedene Verschlüsselungsfunktionen implementiert und von der Münchner Firma Infineon stammt. Doch mit diesem Chip gibt es jetzt ein Problem: Forscher aus Tschechien und der Slowakei wollen auf einer Konferenz im November zeigen, wie man seine Verschlüsselung mit vertretbarem Aufwand knacken kann.

Das Sicherheitsproblem ist aber noch größer. Denn dasselbe Verschlüsselungssystem kommt in zahlreichen weiteren Produkten zum Einsatz, darunter in sogenannten TPM-Chips, die in vielen modernen Laptops verbaut sind und für die Windows-Dateisystemverschlüsselung genutzt werden, und in Yubikeys – das sind Hardware-Verschlüsselungsmodule für den USB-Port. Auch die Personalausweise der Slowakei basieren auf der entsprechenden Infineon-Hardware.

Infineon will gründlich geprüft haben

Mitverantwortlich für dieses Desaster ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) – also jene Behörde, die in Deutschland für die Sicherheit der IT-Infrastruktur sorgen soll. Denn bei der Entwicklung der Verschlüsselung hat sich Infineon offenbar auf die Zertifizierung durch das BSI verlassen und die Sicherheit des eigenen Produkts ansonsten nicht weiter geprüft. Oder zumindest nicht gründlich genug.

Im offiziellen Statement von Infineon klingt das anders. Demnach habe man ein Verwahren verwendet, dessen Grundlagen im Jahr 2000 entwickelt wurden und das erst zehn Jahre später nach gründlicher Überprüfung zum Einsatz kam.

Die Verschlüsselung, um die es geht, ist das sogenannte RSA-Verfahren. Die Abkürzung steht für seine Erfinder Rivest, Shamir und Adelman. Mit RSA selbst gibt es kein Problem, es ist einer der gängigsten Verschlüsselungsalgorithmen und kommt an vielen Stellen zum Einsatz. Der Fehler passierte Infineon offenbar bei der Erstellung der RSA-Schlüssel.

Anfängerfehler: eigene Krypto-Lösung erfinden

Um einen RSA-Schlüssel zu erzeugen, benötigt man zwei große, zufällig gewählte Primzahlen. Wichtig ist, dass diese Primzahlen geheim bleiben und durch einen Angreifer nicht erraten werden können. Eine simple und auch sichere Methode ist es, einfach zufällig große Zahlen zu erzeugen und anschließend zu prüfen, ob es sich um Primzahlen handelt. Doch diese Methode hat einen Nachteil: Sie ist nicht besonders schnell. Daran störte Infineon sich offenbar.

Deshalb hat das Unternehmen ein eigenes Verfahren entwickelt. Die genauen Details dazu sind nicht öffentlich, aber nach allem, was bisher bekannt ist, wurden wohl nur sehr spezielle Primzahlen ausgewählt. Damit wird das ganze Verfahren unsicher, da ein Angreifer nur eine eingeschränkte Zahl an Primzahlen durchprobieren muss.

In den meisten Fällen wäre das zwar nicht gerade günstig – die Entdecker schätzen die Kosten auf etwa 20.000 bis 40.000 Dollar pro angegriffenem Schlüssel, wenn man die nötige Rechenleistung bei Amazons Clouddienst AWS kaufen würde. Doch die Auswirkungen wären enorm. Man kann zwar jetzt die betroffenen Schlüssel austauschen, aber alles, was damit in der Vergangenheit verschlüsselt wurde, ist potenziell unsicher und kann von einem entsprechend finanzkräftigen Angreifer geknackt werden. In manchen Fällen muss auch die Hardware getauscht werden. Vom Imageschaden für Infineon, das BSI und den "Verschlüsselungsstandort Nummer eins", den die große Koalition in ihrer Digitalen Agenda heraufbeschworen hatte, ganz zu schweigen.