Servus, bei eine Recherche zu Anti-Tamper im Embedded (Firmware manipulationssicher machen) bin ich auf die Ansage vom BSI gestossen, das in ca. 3 Wochen der RSA-2048 als unsicher eingestuft wird und damit die Aufforderung zum Wechsel auf längere Schlüssel einher geht. * https://www.elektronische-vertrauensdienste.de/EVD/DE/Aktuelles/Meldungen/anbieter/RSA2048.html -> "Der RSA-Algorithmus mit einer Schlüssellänge von 2048 Bits verliert gemäß dem aktuellen SOG-IS-Katalog v1.3 zum 31.12.2025 seine Eignung." Heisst das jetzt für Entwickler, die beispielsweise Elektronik konstruieren, die dem Cyber-resilience-Act o.ä. unterliegt (wie Medizintechnik oder kritische Infrastruktur) das bspw. die RSA-2048 Verschlüsselung von Firnware keine adequate Massnahme -Stichwort manipulationssichere Mikrocontroller- mehr darstellt ? * https://de.wikipedia.org/wiki/Cyberresilienz-Verordnung Persönlich würde ich auch bei Neugeräten bei den bisher bewährten (RSA-2048) bleiben. Allgemein ist ja selbst bei TLS den Betreibern unklar, was der "Verlust der Eignung" ab 1.1.2026 bedeutet: * https://www.borncity.com/blog/2025/08/11/am-1-1-2026-muss-die-ti-auf-ecc-verschluesselung-umgestellt-sein-droht-ein-gau/ * https://www.heise.de/select/ct/2024/4/2402217293370252791 Aber wahrscheinlich kratzt das hier niemanden.
:
Bearbeitet durch User
Bradward B. schrieb: > Allgemein ist ja selbst bei TLS den Betreibern unklar, was der "Verlust > der Eignung" ab 1.1.2026 bedeutet Ob ein Verschlüsseleungsverfahren geeignet ist, hängt am Erwartungswert für den Aufwand, der zum Knacken erforderlich ist. Die Rechenleistung verfügbarer Rechner steigt nicht sprunghaft zum 1.1.2026. Dieses Datum ist willkürlich. Wenn ein neues Giga-Rechenzentrum für KI-Training in Betrieb geht und der Betreiber beschließt, dies zur Entschlüsselung einzusetzen - das würde die Verfahrensbewertung ändern.
Natürlich machen sich die Arztpraxen am meisten Sorgen darüber, daß Malte und Torben mit ihrer zum Quantenrechner umgebauten Kühltruhe im Keller Patientendaten brutforcen. Die Schwachstellen der elektronischen Patientenakte und nicht funktionierende E-Rezepte treten völlig in den Hintergrund. Welch ein Glück, daß die Europäische Union über unsere Sicherheit wacht!
Gematik Déjàvu > "Hier will sich ein Kartell durch strategische Inkompetenz am deutschen > Gesundheitssystem eine goldene Nase verdienen." > Dirk Engling, Sprecher des CCC
:
Bearbeitet durch User
> Natürlich machen sich die Arztpraxen am meisten Sorgen darüber, daß > Malte und Torben mit ihrer zum Quantenrechner umgebauten Kühltruhe im > Keller Patientendaten brutforcen. Naja, mancherorts schätz man das reale Risiko durch manipulierte Medizin-Gerätschaften ab, Abfluß von Patientendaten ist da Pillepalle. Beispiel Insulinpumpe, davon hats 100 000 Patienten mit in .de. Da pumpt die falsche Firmware mal ratz-fatz ne tödliche Dosis Insulin in den Träger. https://www.aerzteblatt.de/news/johnson-und-johnson-warnt-vor-moeglicher-manipulation-von-insulinpumpe-1b61e20c-9ca0-43a9-8cac-1b49fc2729f4 * https://www.tagesspiegel.de/wissen/in-die-infusionspumpe-gehacked-auf-diese-weise-kann-ein-angreifer-die-bettlagrigen-toten-14102021.html
:
Bearbeitet durch User
Bradward B. schrieb: > Da pumpt die falsche Firmware mal ratz-fatz ne tödliche Dosis Insulin in > den Träger. Und wie kommt, unabhängig von irgendwelchen kryptographischen Verfahren, die falsche Firmware in die Pumpe? Da wird doch keiner so wahnsinnig sein, ein OTA-Update vorzusehen, also erfordert das physischen Zugriff auf die Pumpe. Oder denkst Du an das völlig realistische Szenario, daß nachts auf einer verschneiten Landstraße der LKW, der die aktuelle Charge Insulinpumpen ausliefert, von maskierten Männern mit hartem osteuropäischem Akzent angehalten wird, jemand auf die Ladefläche springt, mal eben die Pumpen auspackt, und "bessere" Firmware aufspielt, um danach die Pumpen wieder zu verpacken und abzuhauen? Oder werden im Internet auf windigen Seiten Firmwaredownloads für Insulinpumpennutzer angeboten, die potenz-, leistung- oder benutzererlebnissteigernd wirken sollen? Manchmal habe ich den Verdacht, daß diejenigen, die sich um Sicherheit gedanken machen, die Realität etwas zu weit abstrahiert haben.
Harald K. schrieb: > Da wird doch keiner so wahnsinnig sein, ein OTA-Update vorzusehen, Doch, genau das! Zitat: "Ein Hacker müsste sich demnach nicht weiter als 800 Meter entfernt von der Pumpe aufhalten"
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.