BSI · @bsi
19425 followers · 466 posts · Server social.bund.de

Das hat die User Guidance zum zertifizierten FIDO-Token-Demonstrator »de.fac2«, konkret dem darauf laufenden »FIDO U2F Authenticator Applet, v1.34«, angepasst: github.com/BSI-Bund/de.fac2/bl

Bei einem -Token erfolgt der „Presence Check“ dadurch, dass das Token in einen Chipkartenleser gesteckt oder ins NFC-Feld gehalten wird - die überarbeitete User Guidance beschreibt noch genauer dadurch mögliche Angriffsszenarien.

#bsi #opensource #fido #SichereHalbleiterTechnologien #DeutschlandDigitalSicherBSI

Last updated 2 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Ein klassischer nutzt die Korrelation des Stromverbrauchs einer CPU zu verarbeiteten Werten. Für solche Angriffe werden physischer Zugriff und teure Geräte benötigt. HERTZBLEED oder PLATYPUS sind als Angriffe deswegen so problematisch, da sie einfach interne Sensoren der CPU, wie etwa für das Power-Throttling, verwenden. Die geringe Präzision der internen Sensoren macht die Angriffe derzeit jedoch in der Praxis weniger relevant.

#Seitenkanalangriff #bsi #SichereHalbleiterTechnologien

Last updated 2 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Die ARM Pointer Authentication (PAC) in AArch64-CPUs seit ARMv8.3 ist eine Form von Tagged Pointer, bei der Speicheradressreferenzen (Pointer) mit kryptografischen Hashes abgesichert werden.
Aber auch hier führen |e mittels spekulativer Ausführung dazu, dass PAC bei Apple M1-Prozessoren umgangen werden kann: pacmanattack.com

Seitenkanalangriffe bleiben nach wie vor eine der größten Herausforderungen für .

#Seitenkanalangriff #SichereHalbleiterTechnologien #DeutschlandDigitalSicherBSI

Last updated 2 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Das hat gemeinsam mit einem Team von Giesecke+Devrient die Implementierungen und Angriffe des „WhibOx Contest 2021“ analysiert: eprint.iacr.org/2022/448
Dies geschah als Nachlese zu der erfolgreichen Teilnahme des BSI an diesem Wettbewerb: whibox.io/contests/2021/#wall-

Fazit: Alle dort verwendeten White-Box Kryptoverfahren können mit geringem Aufwand in kurzer Zeit gebrochen werden.

#bsi #SichereHalbleiterTechnologien #DeutschlandDigitalSicherBSI

Last updated 2 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Trusted Execution Environments (TEEs) fast aller Hersteller weisen Implementierungsschwächen auf, etwa diese: eprint.iacr.org/2022/208 - Updates installieren! Die Integration einer TEE als sicheren Bereich in einem komplexen Prozessordesign ist nicht trivial. Zudem sind die Implementierungen proprietär und nicht unabhängig überprüft. Separate, zertifizierte Sicherheitselemente haben ein deutlich höheres Sicherheitsniveau.

#SichereHalbleiterTechnologien #bsi #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

@hw Über den Hinweis auf die Listen zertifizierter Produkte hinaus passt auch der Toot des vom 01. Juni 2021 gut zu dieser Thematik, der auf Hintergrundinformationen und technische Details zu exemplarischen Schwächen einiger, beispielhafter Security Tokens verlinkt.
👉 social.bund.de/@bsi/1063356772

#bsi #SichereHalbleiterTechnologien #CommonCriteria #Zertifzierung #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Oft werden für e-Wallets, 2FA-Token, Keyless-Entry oder ähnliche Anwendungen gewöhnliche Mikrocontroller als „Sicherheitscontroller“ genutzt. Das Geheimnis auf dem Controller wird geschützt, indem die Readout-Protection gesetzt wird. Aber solche Chips lassen sich oft einfach mittels Power-Glitches angreifen, wie hier eindrucksvoll gezeigt: tches.iacr.org/index.php/TCHES
Fundiertes Vertrauen kann eine unabhängige schaffen.

#Zertifzierung #SichereHalbleiterTechnologien #bsi #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Oft befindet sich ein QR-Code auf Kassenzetteln. Dieser enthält eine kryptografische Signatur der Transaktion und wird von der technischen Sicherheitseinrichtung (TSE) einer Kasse erzeugt. Die TSEn werden durch das zertifiziert.
Mit einer App kann ein solcher QR-Code dekodiert und die Signatur geprüft werden. Das ergibt einen Hinweis, ob die Transaktion korrekt verbucht wurde.

Mehr zur Technik einer TSE: bsi.bund.de/DE/Themen/Unterneh

#bsi #SichereHalbleiterTechnologien #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Vielen Dank für die zahlreichen Beiträge und interessanten Anregungen, die bei der zukünftigen Arbeit des zu den Themen und TPM berücksichtigt werden.

#bsi #SichereHalbleiterTechnologien #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Kerckhoffs' Maxime besagt, dass die Sicherheit bei Kryptografie auf der Geheimhaltung von Schlüsseln und nicht auf der Geheimhaltung der Algorithmen beruht.
Bei Whitebox-Kryptografie werden Schlüssel in der Implementierung eines Verfahrens versteckt. Dass das nicht gut funktioniert, hat das auf dem WhibOx-Contest 2021 bewiesen: bsi.bund.de/DE/Service-Navi/Pr
Deswegen sind sichere Schlüsselspeicher unverzichtbar, zum Beispiel mittels .

#bsi #SichereHalbleiterTechnologien #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Sorgt für Aufsehen: „Windows 11 erfordert zwingend ein TPM“
Generell haben Sicherheitselemente als Vertrauensanker großes Potenzial, um IT-Systeme besser abzusichern. Gegen unerwünschte Nebenwirkungen helfen unter anderem offene Standards und .
Um sich in und außerhalb von Standardisierungsgremien für einsetzen zu können, ist das an allen Meinungen dazu interessiert: Wie sollte ein zukünftiges TPM ausgestaltet sein?

#zertifizierung #SichereHalbleiterTechnologien #bsi #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Die spekulative Code-Ausführung moderner Mikroprozessoren führt immer wieder zu neuen, wenn auch komplexen Angriffsvektoren aus der "Spectre"-Familie.
Kritische Informationen sollten daher möglichst vollständig auf gehärtete Sicherheitselemente ausgelagert werden. Auf vielen Geräten sind diese zwar vorhanden, nutzen aber einzig den Herstellern.

Deshalb arbeitet das an offenen Standards, um für alle nutzbar zu machen.

#bsi #SichereHalbleiterTechnologien #Spectre #DeutschlandDigitalSicherBSI

Last updated 3 years ago

BSI · @bsi
16783 followers · 419 posts · Server social.bund.de

Gemeinsam mit dem AISEC hat das BSI gängige Open Source FIDO-Token zur 2-Faktor-Authentisierung analysiert. Alle Produkte hatten zum Teil gravierende Schwachstellen, die gemeinsam mit den Herstellern zum Großteil bereits geschlossen wurden. Nutzer sollten Security Advisories prüfen und Updates einspielen! Durch hätten viele Schwachstellen frühzeitig entdeckt werden können.
👉 aisec.fraunhofer.de/de/presse-

#zertifizierung #SichereHalbleiterTechnologien #bsi #DeutschlandDigitalSicherBSI

Last updated 4 years ago