Nikons Foto-Verifikationssystem ist unsicher (aktualisiert)

Nach Canon nun auch Nikon: Die Moskauer Sicherheitsspezialisten der Firma ElcomSoft Co. Ltd. haben Schwachstellen in Nikons Foto-Verifikationssystem entdeckt:

Solche Foto-Verifikationssysteme sollen dazu dienen, die Echtheit und Unversehrtheit eines digitalen Fotos zu beweisen. So soll die „Nikon Image Authentication“ auch für die beweissichere Verwendung vor Gericht und anderswo geeignet sein. Dazu wird jedes Foto mit einer digitalen Bild-Autorisierung versehen und Nikons Image Authentication Software kann später feststellen, ob diese Bild-Autorisierung noch gültig, das Foto also unverändert ist, oder ob sie ungültig, das Foto mithin manipuliert ist.

Doch bei Nikons Echtheitssystem haben die Sicherheitsspezialisten nun eine Schwachstelle ausgemacht: Es ist ihnen nach eigenen Angaben gelungen, den originalen Signierschlüssel aus einer Nikon-Kamera auszulesen und damit dann Fotos mit einer gültigen Signatur zu versehen. Genaueres dazu verraten sie – nach einigen lustigen Fake-Fotos – in ihrem Blog. Hauptschwachstelle ist demnach der private geheime Schlüssel, der aus der Kamera ausgelesen werden kann. Und mit diesem Schlüssel lassen sich gültige digitale Signaturen für jedes Bild erzeugen.

Betroffen sind laut ElcomSoft uneingeschränkt alle Nikon-Modelle, die die „Image Authentication“ nutzen, darunter D3x, D3s, D700, D300s, D300, D2Xs, D2X, D2Hs, D200 ...

Man habe, so ElcomSoft, Nikon und CERT über die Schwachstelle informiert. Nikon habe weder geantwortet noch Interesse signalisiert.
 

Unter Nikon Image Authentication System Vulnerability hat ElcomSoft dieses und weitere, ganz offensichtlich manipulierte, Fotos bereitgestellt, die man sich dort im Original samt digitaler Signatur herunterladen kann und die von Nikons Image Authentication als echt und unmanipuliert eingestuft werden.

 
Um das Verifikationssystem (wieder) sicher zu machen, müsste nach Ansicht der Moskauer die Speicherung des Signaturschlüssels in der Kamera neu implementiert werden; außerdem müsste der alte Signaturschlüssel zurückgezogen und ein neuer bereitgestellt werden. Was natürlich im Umkehrschluss auch bedeutet, dass alle jemals bis zu einer solchen Änderung gemachten Nikon-Fotos trotz der „Sicherheitsbeweise“ eben nicht als sicher bzw. unmanipuliert gelten können.

Bereits Ende 2010 konnten die Spezialisten von ElcomSoft nachweisen, dass Canons Foto-Verifikationssystem unsicher ist – und sie sahen aufgrund der zugrunde liegenden Prinzipien auch keine Möglichkeit, die Schwachstelle zu stopfen.

Canon hat übrigens seit damals nicht reagiert und auch nichts unternommen. Die Spezialisten bei ElcomSoft rechnen damit, dass das bei Nikon ähnlich sein wird.

(thoMas)
 

Nachtrag (4.7.2011): Etwas gewunden räumt Nikon die Schwachstelle nun ein. In einem Hinweis für Benutzer der Image Authentication Software heißt es: „Wir haben bestätigt, dass auf Websites von Drittanbietern Berichte zur Image Authentication Software veröffentlicht wurden, die zu einer falschen Bild-Authentifikation führen können.“ Etwas deutlicher ist die englische Fassung: „We have confirmed reports of a vulnerability with the Image Authentication Software that have been posted on third-party websites.“ Etwa: „Wir haben Berichte über eine Schwachstelle der Image Authentication Software ... bestätigt.“ Kurz und gut, die Image Authentication Software ist unsicher und Nikon empfiehlt, bei Fragen zum Thema mit dem Kundendienst in Kontakt zu treten.