Bug in Java macht digitale Signaturen wertlos

cyber crime


Doctor-Who-Fans wollen es schon lange: “Psychic Paper” präsentiert dem Opfer scheinbar echte Ausweise aller Art. Ein Fehler in Java macht das zum Kinderspiel.

heise security logoDurch einen dummen Fehler in der Umsetzung von digitalen Signaturen akzeptieren viele Java-Umgebungen gefälschte digitale Unterschriften. Der Entdecker des Problems vergleicht es mit dem legendären Psychic Paper, das dem Gegenüber der britischen Serienheldin aus Doctor Who ein beliebiges Dokument präsentiert – also etwa den Ausweis eines Gerichtsvollziehers. Der Fehler betrifft digitale Signaturen auf Basis des weit verbreiteten Elliptic Curve Digital Signature Algorithms (EDSA). Etwas vereinfacht besteht eine digitale Unterschrift aus zwei ganzen Zahlen r und s, die gemeinsam mit dem involvierten Schlüssel einer Gleichung genügen müssen, damit die Unterschrift gültig ist.

external link https://www.heise.de/