Schwachstelle bei Infineon-Chips entdeckt

Forscher der Mazarik Universität in Brünn / Tschechien haben eine Schwachstelle bei Verschlüsselungsalgorithmen auf Infineon-Chips entdeckt. Alle D-TRUST-Produkte, die aktiv im Einsatz sind, sind nicht von der veröffentlichten Schwachstelle betroffen.

Ältere Signaturkarten, die auf den betroffenen Infineon-Produkten aufsetzten, sind bereits abgelaufen oder wurden gesperrt. Betroffene Zertifikate sind im Rahmen der Umstellung auf die Vorgaben der eIDAS-Verordnung der Europäischen Kommission im Juni 2017 außer Betrieb genommen worden. Als zusätzliche Sicherheitsmaßnahme wurden in Abstimmung mit der Bundesnetzagentur (der zuständigen Aufsichtsstelle für qualifizierte Vertrauensdienste) die Verzeichnisdienste von D-TRUST so geändert, dass eine zuverlässige Prüfung auch von älteren Zertifikaten weiterhin sicher möglich ist. Die D-TRUST steht im engen Austausch mit ihren Kunden und Partnern zu dem Thema.

Aktueller Hinweis:

Aufgrund einer Schwachstelle bei Infineon-Chips sowie der sich daraus ergebenden Sicherheitsmaßnahmen und regulatorischen Vorgaben musste am 23. Juni 2017 der sogenannte OCSP-Dienst der D-TRUST GmbH umgestellt werden. Zudem wurden am 26. September 2017 die Sperrlisten (CRLs) für die nach Signaturgesetz ausgestellten Signaturkarten abgeschaltet.
 
Sperrlisten sind ihrer Definition nach Negativlisten. Dort sind nur gesperrte Zertifikate aufgeführt.
Sie geben keine Auskunft darüber, ob ein Zertifikat tatsächlich gültig ist oder ob es jemals von einer Zertifizierungsstelle ausgestellt wurde. Eine zuverlässige Prüfung der Gültigkeit sollte daher immer per OCSP-Dienst (Online Certificate Status Protokoll) erfolgen.

Seit dem 23.06.2017 werden alle OCSP-Anfragen zu qualifizierten Zertifikaten auf D-TRUST Signaturkarten vom eIDAS-konformen D-TRUST OCSP 1 3-1 2016 Signer beantwortet. Sie können den Status und die Gültigkeit Ihres Zertifikats einfach über unsere OCSP Abfrage  prüfen.
 
Eine Prüfung mit Adobe Signaturprüfsoftware ist derzeit aufgrund der oben beschriebenen Maßnahmen nur sehr eingeschränkt möglich. Betroffen sind insbesondere Signaturen mit D-TRUST-Signaturkarten, die bis Mitte 2017 gemäß den damaligen Vorgaben des Signaturgesetzes ausgestellt wurden.
 
D-TRUST arbeitet gemeinsam mit Adobe unter Hochdruck an einer Lösung. In der Zwischenzeit empfehlen wir, für die Prüfung eine Signaturprüfkomponente zu verwenden, beispielsweise von intarsys, openlimit, mentana-claimsoft, seccommerce, secrypt oder secunet.