Unvorhandener Winzling schrieb am 30.06.2021 17:06:
Habe mich mal dreißig Minuten mit Impfzertifikaten beschäftigt, und das Ergebnis macht mich ehrlich gesagt fassungslos!
Nachdem ich hier auch schon an anderer Stelle beschrieben habe, dass die Testzertifikate so manchen Schnelltest-Centers schlicht wertlos, weil absolut nicht fälschungssicher sind, wird es bei den den Impfzertifikaten offenbar ähnlich sein.Offenbar sind die Designer von solchen "Zertifikat"slösungen der Meinung, dass ein QR-Code dem Bürger ein unendlich hohes Maß an Sicherheit und Schutz vor Fälschungen sichert.
Bei dem Testzertifikat, das ich vor Pfingsten erhalte habe, prangt oben rechts ein QR-Code, der einfach nur die achtstellige Buchungsnummer im Testcenter enthält. Ohne Rückprüfung dieser Nummer ist die Echtheit NICHT nachweisbar.
Die Impfzertifikatslösung des Freistaats Thüringen versucht es schon etwas besser: Der QR-Code enthält eine URL. Zur Überprüfung des Zertifikats geht man auf die URL, dort wird einem die Gültigkeit angezeigt. Der Haken: Betrüger bauen die Seite auf einem eigenen Webserver nach und codieren diese URL im QR-Code des Impfzertifikats.
Quelle: https://www.ccc.de/system/uploads/315/original/IfSG_CCC_Marx.pdf (Seite 11)
Es scheint in manchen Kreisen die Meinung vorzuherrschen, dass ein QR-Code nur durch Spezialsoftware hergestellt werden kann. Das macht mich wirklich wirklich fassungslos. Ein QR-Code zusammen mit einer App schafft aber noch lange keine Sicherheit!
Mal ehrlich, wenn ein QR-Code so sicher wäre, hätte man damit schon längst Geldscheine fälschungssicher gemacht. Komisch, macht die Notenbank nicht. Warum wohl?
Der QR-Code enthält eine digitale Signatur, die zu fälschen ist nach aktuellem Stand der Technik nicht möglich.
Um die Signatur zu prüfen, muß man die Chain of Trust bis zur CA prüfen, deren Zertifikat man auf sicherem Weg erhalten hat. Dazu kommen dann noch so Dinge wie CRLs usw.
Die Prüfung kann man deshalb nicht einfach auf einer Webseite durchführen, sondern braucht eine App aus sicherer Quelle, die die verschiedenen Prüfungsschritte nacheinander durchführt. Dein selbsterzeugter QR-Code wird dann sehr schnell als ungültig erkannt.
Das Posting wurde vom Benutzer editiert (30.06.2021 17:16).