Nach Canon nun auch Nikon: Die Moskauer Sicherheitsspezialisten der Firma ElcomSoft Co. Ltd. haben Schwachstellen in Nikons Foto-Verifikationssystem entdeckt:
Solche Foto-Verifikationssysteme sollen dazu dienen, die Echtheit und Unversehrtheit eines digitalen Fotos zu beweisen. So soll die „Nikon Image Authentication“ auch für die beweissichere Verwendung vor Gericht und anderswo geeignet sein. Dazu wird jedes Foto mit einer digitalen Bild-Autorisierung versehen und Nikons Image Authentication Software kann später feststellen, ob diese Bild-Autorisierung noch gültig, das Foto also unverändert ist, oder ob sie ungültig, das Foto mithin manipuliert ist.
Doch bei Nikons Echtheitssystem haben die Sicherheitsspezialisten nun eine Schwachstelle ausgemacht: Es ist ihnen nach eigenen Angaben gelungen, den originalen Signierschlüssel aus einer Nikon-Kamera auszulesen und damit dann Fotos mit einer gültigen Signatur zu versehen. Genaueres dazu verraten sie nach einigen lustigen Fake-Fotos in ihrem Blog. Hauptschwachstelle ist demnach der private geheime Schlüssel, der aus der Kamera ausgelesen werden kann. Und mit diesem Schlüssel lassen sich gültige digitale Signaturen für jedes Bild erzeugen.
Betroffen sind laut ElcomSoft uneingeschränkt alle Nikon-Modelle, die die „Image Authentication“ nutzen, darunter D3x, D3s, D700, D300s, D300, D2Xs, D2X, D2Hs, D200 …
Man habe, so ElcomSoft, Nikon und CERT über die Schwachstelle informiert. Nikon habe weder geantwortet noch Interesse signalisiert.

Unter Nikon Image Authentication System Vulnerability hat ElcomSoft dieses und weitere, ganz offensichtlich manipulierte, Fotos bereitgestellt, die man sich dort im Original samt digitaler Signatur herunterladen kann und die von Nikons Image Authentication als echt und unmanipuliert eingestuft werden.
Um das Verifikationssystem (wieder) sicher zu machen, müsste nach Ansicht der Moskauer die Speicherung des Signaturschlüssels in der Kamera neu implementiert werden; außerdem müsste der alte Signaturschlüssel zurückgezogen und ein neuer bereitgestellt werden. Was natürlich im Umkehrschluss auch bedeutet, dass alle jemals bis zu einer solchen Änderung gemachten Nikon-Fotos trotz der „Sicherheitsbeweise“ eben nicht als sicher bzw. unmanipuliert gelten können.
Bereits Ende 2010 konnten die Spezialisten von ElcomSoft nachweisen, dass Canons Foto-Verifikationssystem unsicher ist und sie sahen aufgrund der zugrunde liegenden Prinzipien auch keine Möglichkeit, die Schwachstelle zu stopfen.
Canon hat übrigens seit damals nicht reagiert und auch nichts unternommen. Die Spezialisten bei ElcomSoft rechnen damit, dass das bei Nikon ähnlich sein wird.
(thoMas)
Nachtrag (4.7.2011): Etwas gewunden räumt Nikon die Schwachstelle nun ein. In einem Hinweis für Benutzer der Image Authentication Software heißt es: „Wir haben bestätigt, dass auf Websites von Drittanbietern Berichte zur Image Authentication Software veröffentlicht wurden, die zu einer falschen Bild-Authentifikation führen können.“ Etwas deutlicher ist die englische Fassung: „We have confirmed reports of a vulnerability with the Image Authentication Software that have been posted on third-party websites.“ Etwa: „Wir haben Berichte über eine Schwachstelle der Image Authentication Software … bestätigt.“ Kurz und gut, die Image Authentication Software ist unsicher und Nikon empfiehlt, bei Fragen zum Thema mit dem Kundendienst in Kontakt zu treten.
Und…
wieder bricht für die Nikon – Jünger eine Welt zusammen !
Händler schrieb:
wieder
[quote=Händler]wieder bricht für die Nikon – Jünger eine Welt zusammen ![/quote]
…zuviel Freizeit?
Welchen Sinn hat dieser Beitrag?
Gruß
PKD
Schwere Probleme
Wir können jetzt wochenlang nicht schlafen. [quote=Händler]wieder bricht für die Nikon – Jünger eine Welt zusammen ![/quote]
Wer kann das schon
in dieser furchtbar unsicheren Welt … 😎
Software
Die schrecklichste Nachricht des Monats? Was interessiert mich das? Das ist Software, das lässt sich schnell verbessern. Bestelle mir deswegen im nächsten Monat das Nikkor 2,8/24-70 mm, denn wer baut bessere Objektive, zuverlässigere Kameras und bietet so ein umfangreiches Zubehör? [quote=Händler]wieder bricht für die Nikon – Jünger eine Welt zusammen ![/quote]
Gibt’s eigentlich
Elektronik ohne Schwachstellen? 😎
Willst Du das wirklich wissen?
Wir leben mit und von der manipulierten Nachricht. Wir sehen das Fragezeichen hinten an der Schlagzeile aber wir lesen es nicht. Wir hören den lautesten Schreihals eher als wir ihn sehen. Wir wollen nur das sehen was wir wollen und nicht das was abgebildet ist. Wir glauben nur das was wir verkraften können und mal ehrlich, welche Firma oder welcher Politiker spricht die Wahrheit? Wer will die wirklich wissen?
Es gibt im Leben keine Sicherheit
außer dem Tod und der ist grenzwertig.
Schön gesagt
Wahrhaftig christliches Glaubensbekenntnis … 😎
Hacker und Cracker
Interessant ist doch die Frage, wie relevant die sogenannte Schwachstelle in der Praxis ist. WER hat die Möglichkeit, ganz bestimmte Bilder zu manipulieren und also die Sicherheitsmechanismen zu umgehen? WELCHE Bilder beträfe das bspw.?
Manchmal sind die Dinge sehr akademisch betrachtet – in praxis also durchaus irrelevant. Nur dass – wenn der Teufel erstmal an die Wand gemalt wurde – alle Welt trotzdem anfängt zu glauben, was sie gar nicht so genau wissen kann… …
MfG
______________________________________
Wissen ist Macht.
[Francis Bacon, 1561 – 1626]
no_photo_please schrieb:
[quote=no_photo_please]Interessant ist doch die Frage, wie relevant die sogenannte Schwachstelle in der Praxis ist. WER hat die Möglichkeit, ganz bestimmte Bilder zu manipulieren und also die Sicherheitsmechanismen zu umgehen? WELCHE Bilder beträfe das bspw.?
[/quote]
Jeder der die Software hat, jedes Bild.
Interessant ist dabei nur, wie die Hersteller dabei umgehen.
Hersteller behaupten „wir koennen die Echtheit eines Bildes verifizieren“.
Leute die was davon verstehen sagen: „schauen wir mal wie lange es dauert bis es einer bricht“.
Dann wird es gebrochen, und nix passiert von Herstellerseite.
Und Leute die sich nicht schlau machen glauben weiterhin dass man die Echtheit von Bilder verifizieren kann.
Eigentlich muesste das Feature in der naechsten Firmwarte Release entweder verbessert
werden – falls moeglich – oder gesperrt.
Aber 2. ist so peinlich…
Wer lange genug sucht
wird immer etwas finden! Total überbewertet!
Die Frage ist warum sich ein „Unternehmen“ Tage-, Wochen- Monatelang damit befasst Software zu analysieren um angeblich lebensbedrohliche Schwachstellen zu finden die kein normaler Hacker finden würde!?
Es geht doch schon lange nicht mehr um Sicherheit sondern darum sich zu profilieren um anderweitig Aufträge zu bekommen! Für mich ist das perfide!!!
Beweislage
[quote=Hififan]wird immer etwas finden! Total überbewertet!
Die Frage ist warum sich ein „Unternehmen“ Tage-, Wochen- Monatelang damit befasst Software zu analysieren um angeblich lebensbedrohliche Schwachstellen zu finden die kein normaler Hacker finden würde!?
Es geht doch schon lange nicht mehr um Sicherheit sondern darum sich zu profilieren um anderweitig Aufträge zu bekommen! Für mich ist das perfide!!![/quote]
So überbewertet ist das gar nicht. Die Foto-Authentifizierung dient auch dazu digitale Fotos „gerichtsfest“ zu machen, d.h. als Beweismittel in Gerichtsverfahren nutzen zu können. Wenn also die „Wasserdichtigkeit“ der digitalen Beweisobjekte nicht mehr hinterfragt wird, weil sie ja laut Kamerahersteller sicher sind, dann könnten daraus ungerechte Urteile resultieren, die Unschuldige zu Schuldigen machen. Denken Sie nur mal an manipulierte Fotos von Tatorten oder Unfallspuren im Bereich der Verkehrsunfälle. Somit bleibt uns also als sicheres , optisches Beweismittel nur das gute, alte Negativ/Dia.
Nachdem sich heute
alles hacken läßt – so what …
Immer schön aussehen
Um ehrlich zu sein: Bildmanipulation kommt bei mir fast täglich vor. Bei wichtigen Gruppenfotos tausche ich die Köpfe aus, mische von drei Bildern aus einer Serie das entscheidende Foto für die Veröffentlichung, denn es kommt immer vor, dass bei einem „Fotomodell“ die Augen geschlossen sind oder ein Abgebildeter im Moment der Auslösung unvorteilhaft getroffen wurde, weil er sich gerade umdrehte oder noch nicht damit rechnete, dass der Fotograf schon den Auslöser durchdrückte. Den Leuten ist das egal, sie möchten in der Zeitung „gut aussehen“, vor allem Politiker und Unternehmer sind da sehr eitel. Durchaus verständlich, denn schließlich sehen das Bild tausende Leser. Das kostet Zeit, denn es soll doch perfekt aussehen.
Was keinesfalls geht, ist das Wegnehmen einer Person oder das Hinzufügen, obwohl zum Zeitpunkt der Aufnahme nicht anwesend. Das spricht sich schnell herum und bringt Ärger. Hier ist die Grenze schnell erreicht.