Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Infineon: BSI zertifiziert unsichere…

Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: twothe 19.10.17 - 17:34

    "So das wäre dann die Software für die wir das Zertifikat brauchen."
    "Warum liegt denn hier Geld rum?"

  2. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: robinx999 19.10.17 - 19:20

    Tja Industriesilikon in TÜV Zertifizierten Implantaten, BSI Zertifizierte Verschlüsselung mit schlechten Primzahlen.
    Ich glaube jedes Zertifikat für dass die ausstellende Organisation keine Haftung übernimmt ist wertlos

  3. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: Sharra 19.10.17 - 20:19

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Tja Industriesilikon in TÜV Zertifizierten Implantaten, BSI Zertifizierte
    > Verschlüsselung mit schlechten Primzahlen.
    > Ich glaube jedes Zertifikat für dass die ausstellende Organisation keine
    > Haftung übernimmt ist wertlos


    Bei den Implantaten wurde dem TÜV ja glaube ich einwandfreie Exemplare vorgelegt, und danach dann der billige Schrott verwendet.
    Und wie die Schlüssel erzeugt wurden, wird man dem BSI auch nicht gesagt haben. Die werden sich auch kaum die Mühe gemacht haben, mal eben ein paar dutzend Primzahlen auf Verdacht durchzutesten.

  4. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: kazhar 19.10.17 - 20:36

    Ich würde - in diesem speziellen Fall - keinen Dilettantismus oder gar dunkle Beweggründe unterstellen...

    So ein Chip samt Firmware ist komplex; sich da als Nicht-Entwickler soweit reinzudenken, dass man kapiert was abläuft - und im Optimalfall sogar Mängel findet - ist eine halbe Lebensaufgabe.

    Der "Experte des BSI" (=das arme Schwein, das sich nicht schnell genug versteckt hat) wird sich die Doku halbwegs aufmerksam durchgelesen, die VHDL Quellen (so vorhanden) überflogen, die Firmware durch den automagischen Fehlersucher gejagt und anschließend vielleicht sogar ein paar grundlegende Tests gefahren haben.

    Ergebnis: Joa, die Doku ist in gut lesbarer Schrift gehalten, das komische RSA ist auch wirklich drin und wenn man auf den Knopf drückt kommt was raus :thumbsup:

    EDIT: ich will damit aussagen, dass ich die Zertifizierung derartiger Machwerke für höchst problematisch halte.



    1 mal bearbeitet, zuletzt am 19.10.17 20:41 durch kazhar.

  5. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: nicoledos 19.10.17 - 20:45

    Man muss nun mal genau hin sehen, was geprüft wird. Der Tüv hat nicht wirklich die Implantate geprüft. Es wurden die Produktionsprozesse geprüft, und die waren OK. Wenn die Rohstoffe Müll sind ändert dies nichts am getesteten Prozess.

    BASF ist doch auch irgendwie ISO-Zertifiziert. Irgendwie haben die auch mindestens einen Monat verseuchte Rohstoffe für Schaumstoffe wie Matratzen produziert und an ihre Kunden ausgeliefert.

    Bei Zertifizierung von Software und Hardware ist nun mal auch die Frage, was genau da zertifiziert wird. Jede Zeile Code zu testen ist kaum möglich. Selbst angriffe auf das System bringen nur bedingt etwas, da nie alle möglichen Angriffsvektoren bekannt sind. Also werden Programmablaufpläne und Modelle der SW-/HW-Systeme nach mathematischen Verfahren getestet. Nur kann es im Detail bei der Umsetzung dann doch Lücken geben. Das liegt nur nicht am BSI selbst, sondern am Prinzip derartiger Testverfahren.

  6. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: ML82 20.10.17 - 04:00

    oder man prüft und test einfach nicht genug, denn man kann sich jede zeile beschauen unden bekannten vektor prüfen, das ist lediglich eine frage der mittel die man dafür bereit ist aufzuwenden.

  7. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: Anonymer Nutzer 20.10.17 - 08:38

    Bei Zertifikaten muss man eben genau hinterfragen was eigentlich zertifiziert wird.

    "The IT Product identified in this certificate has been evaluated at an approved evaluation facility using the Common Methodology for IT Security Evaluation (CEM), Version 3.1 extended by Scheme Interpretationsand CC Supporting Documents as listed in the Certification Report for conformance to the Common Criteria for IT Security Evaluation(CC), Version 3.1. CC and CEM are also published as ISO/IEC 15408 and ISO/IEC18045."

    Also nicht nach dem Motto "ich bin Superexperte und habe rumprobiert und sage, dass es sicher ist", sondern nach den o. g. Standards. Und ich unterstelle, dass jeder andere Prüfer, der nach diesen Standards vorgegangen wäre, ebenfalls zu einem positiven Ergebnis gekommen wäre.


    "This certificate applies only to the specific version and release of the product in its evaluated configuration and in conjunction with the complete Certification Report and Notification."

    Eine häufige Fehlinterpretation von Zertifikaten ist ja auch dieses auf ganze Produktreihen in jeglichen Konfigurationen auszuweiten. Es wird aber klipp und klar erklärt, dass die zuerst genannten Konformität mit den Prüfstandards auch nur für die konkrete Konfiguration bestätigt wird (die dann im weiteren noch ausgeführt wird, "For details on the validity see Certification Report part A chapter 4").

    "This certificate is not an endorsement of the IT Product by the Federal Office for Information Security or any other organisation that recognises or gives effect to this certificate, and no warranty of the IT Product by the Federal Office for Information Security or any other organisation that recognises or gives effect to this certificate, is either expressed or implied."

    Ausdrücklich sagt das BSI sogar, dass mit diesem Zertifikat keine Empfehlung im Sinne von "das ist ein sicheres Produkt" verbunden ist.

    Und all das steht nicht irgendwo im Kleingedruckten sondern im eigentlichen Zertifikatblatt, auf einer Seite, sehr übersichtlich und eindeutig. Das Zertifikat ist also höchstens ein Anhaltspunkt dafür, dass die Sicherheitsversprechen des Herstellers nicht reines Schlangeöl sind, sondern das Produkt einen zweiten Blick wert sein könnte. Und dann muss man eben selbst prüfen.



    1 mal bearbeitet, zuletzt am 20.10.17 08:40 durch ermic.

  8. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: AllDayPiano 20.10.17 - 08:53

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Tja Industriesilikon in TÜV Zertifizierten Implantaten,

    Schön, wie sich dieser Mythos bis heute hält. Qualitätspresse sei dank!

    Die Fertigung wurde nach ISO 9001 zertifiziert. Das bedeutet, dass gewisse Standards in den Prozess und die Dokumentation bzgl. Rückverfolgbarkeit gegeben ist. Wenn die Dinger mit Hundekot gefüllt würden, wäre das Zertifikat trotzdem gerechtfertigt.

    Deswegen wurde die Klage gegen den TÜV auch soweit ich entsinne abgewiesen.

  9. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: frostbitten king 20.10.17 - 09:37

    Haha.
    Warum liegt denn hier Geld rum?
    Warum haste einen schwarzen Koffer dabei?
    Ja dann Pack schon mal ein. :-D.

  10. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: Sharra 20.10.17 - 12:19

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > oder man prüft und test einfach nicht genug, denn man kann sich jede zeile
    > beschauen unden bekannten vektor prüfen, das ist lediglich eine frage der
    > mittel die man dafür bereit ist aufzuwenden.


    Einfache Frage an dich:
    Traust du dir zu, mit genügend Geldmitteln und Personal JEDEN Fehler zu finden?
    Falls ja, bist du definitiv falsch auf so einem Posten.

  11. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: robinx999 20.10.17 - 20:27

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Tja Industriesilikon in TÜV Zertifizierten Implantaten,
    >
    > Schön, wie sich dieser Mythos bis heute hält. Qualitätspresse sei dank!
    >
    > Die Fertigung wurde nach ISO 9001 zertifiziert. Das bedeutet, dass gewisse
    > Standards in den Prozess und die Dokumentation bzgl. Rückverfolgbarkeit
    > gegeben ist. Wenn die Dinger mit Hundekot gefüllt würden, wäre das
    > Zertifikat trotzdem gerechtfertigt.
    >
    > Deswegen wurde die Klage gegen den TÜV auch soweit ich entsinne abgewiesen.


    In Deutschland ja in Frankreich wurde der TÜV zu Schadensersatz verurteilt http://www.faz.net/aktuell/gesellschaft/gesundheit/tuev-muss-fuer-schadhafte-brustimplantate-schadenersatz-zahlen-14707187.html
    Man könnte hier evtl. Argumentiren dass Hier deutsche Gerichte den TÜV schützen wollen.
    Wobei natürlich die Frage ist wenn der TÜV zulässt das mit TÜV Zertifizierungen geworben wird, was viele Firmen machen, er wird ja für die Zertifikate bezahlt und auf allen Dingen ist ein TÜV Logo und dann im zweifelsfall sagt wir konnten es nicht wissen oder es war nicht Teil der Zertifizierung, dann bin ich schon skeptisch ob Zertifikate überhaupt irgendeinen Wert haben

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. VNR Verlag für die Deutsche Wirtschaft AG, Bonn
  2. Heymanns IT-Solutions GmbH, Willich
  3. NETZSCH-Gerätebau GmbH, Selb (Raum Hof)
  4. ista International GmbH, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,60€
  2. 2,99€
  3. (-57%) 6,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

Recycling: Die Plastikfischer
Recycling
Die Plastikfischer

Millionen Tonnen Kunststoff landen jedes Jahr im Meer. Müllschlucker, die das Material einsammeln, sind bislang wenig erfolgreich. Eine schwimmende Recycling-Fabrik, die die wichtigsten Häfen anläuft, könnte helfen, das Problem zu lösen.
Ein Bericht von Daniel Hautmann

  1. Elektroautos Audi verbündet sich mit Partner für Akkurecycling
  2. Urban Mining Wie aus alten Platinen wieder Kupfer wird

  1. Apple: Update auf iOS 12.3.1 behebt Probleme mit VoLTE
    Apple
    Update auf iOS 12.3.1 behebt Probleme mit VoLTE

    Apple hat ohne öffentlichen Betatest ein Update für iOS veröffentlicht. Es löst mehrere Probleme, darunter einen ärgerlichen Bug mit Voice over LTE und zwei Fehler in der Nachrichten-App.

  2. Project Xcloud: Microsoft streamt Spiele mit Xbox-Blades
    Project Xcloud
    Microsoft streamt Spiele mit Xbox-Blades

    Entwickler müssen nichts am Code von Xbox-Spielen ändern, um sie auf den Servern von Microsoft zu streamen. Das hat Kareem Choudhry von Microsoft gesagt - und gleichzeitig eine neue API vorgestellt.

  3. Mobilfunk: Verbände fordern lokales Roaming
    Mobilfunk
    Verbände fordern lokales Roaming

    Schnelles Internet auf dem Land: Wie kann dieses Ziel erreicht werden? Noch immer gibt es Vorsorgungslücken. Ein lokales Roaming ist in der Koalition umstritten, nun erheben mehrere Verbände Forderungen.


  1. 12:11

  2. 11:40

  3. 11:11

  4. 17:50

  5. 17:30

  6. 17:09

  7. 16:50

  8. 16:33