Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Infineon: BSI zertifiziert unsichere…

Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: twothe 19.10.17 - 17:34

    "So das wäre dann die Software für die wir das Zertifikat brauchen."
    "Warum liegt denn hier Geld rum?"

  2. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: robinx999 19.10.17 - 19:20

    Tja Industriesilikon in TÜV Zertifizierten Implantaten, BSI Zertifizierte Verschlüsselung mit schlechten Primzahlen.
    Ich glaube jedes Zertifikat für dass die ausstellende Organisation keine Haftung übernimmt ist wertlos

  3. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: Sharra 19.10.17 - 20:19

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Tja Industriesilikon in TÜV Zertifizierten Implantaten, BSI Zertifizierte
    > Verschlüsselung mit schlechten Primzahlen.
    > Ich glaube jedes Zertifikat für dass die ausstellende Organisation keine
    > Haftung übernimmt ist wertlos


    Bei den Implantaten wurde dem TÜV ja glaube ich einwandfreie Exemplare vorgelegt, und danach dann der billige Schrott verwendet.
    Und wie die Schlüssel erzeugt wurden, wird man dem BSI auch nicht gesagt haben. Die werden sich auch kaum die Mühe gemacht haben, mal eben ein paar dutzend Primzahlen auf Verdacht durchzutesten.

  4. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: kazhar 19.10.17 - 20:36

    Ich würde - in diesem speziellen Fall - keinen Dilettantismus oder gar dunkle Beweggründe unterstellen...

    So ein Chip samt Firmware ist komplex; sich da als Nicht-Entwickler soweit reinzudenken, dass man kapiert was abläuft - und im Optimalfall sogar Mängel findet - ist eine halbe Lebensaufgabe.

    Der "Experte des BSI" (=das arme Schwein, das sich nicht schnell genug versteckt hat) wird sich die Doku halbwegs aufmerksam durchgelesen, die VHDL Quellen (so vorhanden) überflogen, die Firmware durch den automagischen Fehlersucher gejagt und anschließend vielleicht sogar ein paar grundlegende Tests gefahren haben.

    Ergebnis: Joa, die Doku ist in gut lesbarer Schrift gehalten, das komische RSA ist auch wirklich drin und wenn man auf den Knopf drückt kommt was raus :thumbsup:

    EDIT: ich will damit aussagen, dass ich die Zertifizierung derartiger Machwerke für höchst problematisch halte.



    1 mal bearbeitet, zuletzt am 19.10.17 20:41 durch kazhar.

  5. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: nicoledos 19.10.17 - 20:45

    Man muss nun mal genau hin sehen, was geprüft wird. Der Tüv hat nicht wirklich die Implantate geprüft. Es wurden die Produktionsprozesse geprüft, und die waren OK. Wenn die Rohstoffe Müll sind ändert dies nichts am getesteten Prozess.

    BASF ist doch auch irgendwie ISO-Zertifiziert. Irgendwie haben die auch mindestens einen Monat verseuchte Rohstoffe für Schaumstoffe wie Matratzen produziert und an ihre Kunden ausgeliefert.

    Bei Zertifizierung von Software und Hardware ist nun mal auch die Frage, was genau da zertifiziert wird. Jede Zeile Code zu testen ist kaum möglich. Selbst angriffe auf das System bringen nur bedingt etwas, da nie alle möglichen Angriffsvektoren bekannt sind. Also werden Programmablaufpläne und Modelle der SW-/HW-Systeme nach mathematischen Verfahren getestet. Nur kann es im Detail bei der Umsetzung dann doch Lücken geben. Das liegt nur nicht am BSI selbst, sondern am Prinzip derartiger Testverfahren.

  6. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: Anonymer Nutzer 20.10.17 - 04:00

    oder man prüft und test einfach nicht genug, denn man kann sich jede zeile beschauen unden bekannten vektor prüfen, das ist lediglich eine frage der mittel die man dafür bereit ist aufzuwenden.

  7. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: Anonymer Nutzer 20.10.17 - 08:38

    Bei Zertifikaten muss man eben genau hinterfragen was eigentlich zertifiziert wird.

    "The IT Product identified in this certificate has been evaluated at an approved evaluation facility using the Common Methodology for IT Security Evaluation (CEM), Version 3.1 extended by Scheme Interpretationsand CC Supporting Documents as listed in the Certification Report for conformance to the Common Criteria for IT Security Evaluation(CC), Version 3.1. CC and CEM are also published as ISO/IEC 15408 and ISO/IEC18045."

    Also nicht nach dem Motto "ich bin Superexperte und habe rumprobiert und sage, dass es sicher ist", sondern nach den o. g. Standards. Und ich unterstelle, dass jeder andere Prüfer, der nach diesen Standards vorgegangen wäre, ebenfalls zu einem positiven Ergebnis gekommen wäre.


    "This certificate applies only to the specific version and release of the product in its evaluated configuration and in conjunction with the complete Certification Report and Notification."

    Eine häufige Fehlinterpretation von Zertifikaten ist ja auch dieses auf ganze Produktreihen in jeglichen Konfigurationen auszuweiten. Es wird aber klipp und klar erklärt, dass die zuerst genannten Konformität mit den Prüfstandards auch nur für die konkrete Konfiguration bestätigt wird (die dann im weiteren noch ausgeführt wird, "For details on the validity see Certification Report part A chapter 4").

    "This certificate is not an endorsement of the IT Product by the Federal Office for Information Security or any other organisation that recognises or gives effect to this certificate, and no warranty of the IT Product by the Federal Office for Information Security or any other organisation that recognises or gives effect to this certificate, is either expressed or implied."

    Ausdrücklich sagt das BSI sogar, dass mit diesem Zertifikat keine Empfehlung im Sinne von "das ist ein sicheres Produkt" verbunden ist.

    Und all das steht nicht irgendwo im Kleingedruckten sondern im eigentlichen Zertifikatblatt, auf einer Seite, sehr übersichtlich und eindeutig. Das Zertifikat ist also höchstens ein Anhaltspunkt dafür, dass die Sicherheitsversprechen des Herstellers nicht reines Schlangeöl sind, sondern das Produkt einen zweiten Blick wert sein könnte. Und dann muss man eben selbst prüfen.



    1 mal bearbeitet, zuletzt am 20.10.17 08:40 durch ermic.

  8. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: AllDayPiano 20.10.17 - 08:53

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Tja Industriesilikon in TÜV Zertifizierten Implantaten,

    Schön, wie sich dieser Mythos bis heute hält. Qualitätspresse sei dank!

    Die Fertigung wurde nach ISO 9001 zertifiziert. Das bedeutet, dass gewisse Standards in den Prozess und die Dokumentation bzgl. Rückverfolgbarkeit gegeben ist. Wenn die Dinger mit Hundekot gefüllt würden, wäre das Zertifikat trotzdem gerechtfertigt.

    Deswegen wurde die Klage gegen den TÜV auch soweit ich entsinne abgewiesen.

  9. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: frostbitten king 20.10.17 - 09:37

    Haha.
    Warum liegt denn hier Geld rum?
    Warum haste einen schwarzen Koffer dabei?
    Ja dann Pack schon mal ein. :-D.

  10. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: Sharra 20.10.17 - 12:19

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > oder man prüft und test einfach nicht genug, denn man kann sich jede zeile
    > beschauen unden bekannten vektor prüfen, das ist lediglich eine frage der
    > mittel die man dafür bereit ist aufzuwenden.


    Einfache Frage an dich:
    Traust du dir zu, mit genügend Geldmitteln und Personal JEDEN Fehler zu finden?
    Falls ja, bist du definitiv falsch auf so einem Posten.

  11. Re: Wie das zertifiziert wurde ist sehr leicht nachvollziehbar

    Autor: robinx999 20.10.17 - 20:27

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Tja Industriesilikon in TÜV Zertifizierten Implantaten,
    >
    > Schön, wie sich dieser Mythos bis heute hält. Qualitätspresse sei dank!
    >
    > Die Fertigung wurde nach ISO 9001 zertifiziert. Das bedeutet, dass gewisse
    > Standards in den Prozess und die Dokumentation bzgl. Rückverfolgbarkeit
    > gegeben ist. Wenn die Dinger mit Hundekot gefüllt würden, wäre das
    > Zertifikat trotzdem gerechtfertigt.
    >
    > Deswegen wurde die Klage gegen den TÜV auch soweit ich entsinne abgewiesen.


    In Deutschland ja in Frankreich wurde der TÜV zu Schadensersatz verurteilt http://www.faz.net/aktuell/gesellschaft/gesundheit/tuev-muss-fuer-schadhafte-brustimplantate-schadenersatz-zahlen-14707187.html
    Man könnte hier evtl. Argumentiren dass Hier deutsche Gerichte den TÜV schützen wollen.
    Wobei natürlich die Frage ist wenn der TÜV zulässt das mit TÜV Zertifizierungen geworben wird, was viele Firmen machen, er wird ja für die Zertifikate bezahlt und auf allen Dingen ist ein TÜV Logo und dann im zweifelsfall sagt wir konnten es nicht wissen oder es war nicht Teil der Zertifizierung, dann bin ich schon skeptisch ob Zertifikate überhaupt irgendeinen Wert haben

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsmedizin Göttingen, Göttingen
  2. Dataport, verschiedene Standorte
  3. Stadtverwaltung Kaiserslautern, Kaiserslautern
  4. LOTTO Hessen GmbH, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 35€ (Bestpreis!)
  2. 199€ + Versand
  3. 56€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29