Möglicherweise ist es Kriminellen gelungen den Private Key zur Erzeugung von QR-Codes in EU-Covid-Zertifikaten zu entwenden. Das zumindest befürchten Security-Experten von Kaspersky in einer Mitteilung. Sie verweisen auf den Screenshot eines Zertifikats mit einem funktionierenden QR-Code, ausgestellt auf "Adolf Hitler", der seine zweite Dosis Biontech demnach am 1. Oktober erhalten haben soll.
Der Schlüssel wird von allen EU-Staaten zur Ausgabe von Green-Pass-Zertifikaten benutzt, die den Zugang zu Flügen, Restaurants, Museen und vielem mehr ermöglichen. Der Leak wäre verheerend. Sämtliche Zertifikate, die mit dem Schlüssel erstellt worden sind, müssten ersetzt werden, ansonsten hätten die Kriminellen unbegrenzte Möglichkeiten, weitere Zertifikate auszugeben.
Berichtet hatte über das Problem zuerst der niederländische Nachrichtensender 'RTL', der auch Kontakt zu den Fälschern ausgenommen hat. Diese hätten für 300 Euro ein gültiges Zertifikat mit polnischer oder französischer Herkunft angeboten, die europaweit gültig sind. Bereits vor zwei Tagen hatte "Reversebrain", ein Pentester und Mitglied eines Incident Response Teams, auf Twitter auf den möglichen Leak hingewiesen. Am selben Tag schrieb ein User namens
Emanuele Laface auf Github von entsprechenden Zertifikaten, die in Telegram-Gruppen zirkulierten.
Dass der Schlüssel entwendet wurde, ist aber nur eine von mehreren Möglichkeiten: Die Kriminellen könnten auch mit Stellen zusammenspannen, die legitime Zertifikate ausgeben oder sie könnten deren System gehackt haben. Dies hält Denys Vitali, der bei Swisscom als Data, Analytics & AI Engineer arbeitet, für plausibler: Auch wenn ein Leak nicht ausgeschlossen sei, sei er eher unwahrscheinlich,
schreibt er auf Github. Der Grund: Regierungen nutzten höchstwahrscheinlich Hardware-Security-Module (HSM) zum Signieren, was den Schlüssel auch vor den Besitzern verberge. Zudem würden seine Recherchen in einem Internetforum, wo Screenshots vom Zertifikationsvorgang zu sehen seien, seine These stützen.
Wie auch immer die illegitimen Zertifikate erstellt worden sind: offenbar funktionieren sie und sind im Umlauf. Das kompromittiert das System. "Dies ist besorgniserregend, da es so unmöglich wird, zwischen legitimen Green Passes und solchen zu unterscheiden, die durch die geleakten Schlüssel generiert wurden. (…) Es ist zwar möglich, Zertifikatsschlüssel zu widerrufen, jedoch hat dies weitreichendere Konsequenzen für die Gesellschaft und die Sicherheit. Daher ist es wichtig, Monitoring- und Sicherheitsmassnahmen zu verbessern, um alle Infrastrukturgeräte vor externen Cyberangriffen zu schützen, Missbrauch zu verhindern und aufzudecken", kommentiert ein Kaspersky-Experte das Problem.
Dirk-Willem van Gulik, Gründer der Apache Software Foundation, erklärte im Github-Thread von Emanuele Laface, dass mindestens das französische Computer Emergency Response Team (CERT) informiert sei und an der Sache arbeite.