Der derzeitige Stand des Projektes "Digitale Zeugnisse mit Blockchain" scheint unausgereift und mit gravierenden Fehlern gespickt. Die IT-Sicherheitsexpertin Lilith Wittmann vom Projekt Zerforschung hat zusammen mit dem Hacker "Flüpke" die öffentlich zugänglichen Server untersucht und dabei mehrere Schwachstellen entdeckt. Durch diese sei die Zeugnis-Blockchain zurzeit schlicht unbrauchbar.

Der Prozess, um ein Zeugnis in die Blockchain zu bekommen, solle folgendermaßen aussehen: Zunächst erstellt die ausstellende Institution ein Zeugnis als PDF-Dokument und exportiert über eine standardisierte API die Zeugnisdaten. Das System hängt die Zeugnisdaten im XML-Format an das PDF an. Das PDF-Dokument selber wird kryptografisch signiert. Ein Hashwert über dieses zusammengesetzte Dokument wird schließlich in der Blockchain gespeichert. Der Prüfungsprozess sehe vor, dass das signierte PDF mit den XML-Daten an die Server der Bundesdruckerei geschickt werden. Diese liefern dann das Ergebnis der Echtheitsprüfung zurück.

Allerdings sind die Beschreibungen an unterschiedlichen Stellen etwas ungenau und teils widersprüchlich. Das System wurde von Govdigital – einem Zusammenschluss öffentlicher IT-Dienstleister – und der Bundesdruckerei entwickelt. Seit Mitte vergangenen Jahres läuft ein Testbetrieb.

Schwerwiegende Lücken

In der Umsetzung haben sich offenbar einige technische Fehler eingeschlichen, die die Nutzbarkeit zumindest vorerst zunichtemachen.

Auf den Test-Servern der Bundesdruckerei stieß Flüpke zunächst auf Cross-Site-Scripting-Lücken. Bei tiefergehenden Prüfungen fand Wittmann jedoch heraus, dass die API offenbar nicht durch Authentifizierung gesichert ist: Jeder kann beliebige Daten in die Blockchain eintragen. De facto also digitale Zeugnisse ausstellen – diesen fehlt jedoch die digitale Signatur eines offiziellen Instituts wie des BMBF. Für beides hat Wittmann Beispielcode in Github hinterlegt.

Gegenüber heise Security ordnet Lilith Wittmann die vorgefundenen Fehler ein: "Primär zeigt das alles mal wieder, dass die Bundesverwaltung oder in dem Fall das BMBF über keinerlei Digitalkompetenz verfügt und somit nicht fähig ist, solche Projekte zu beauftragen und zu steuern oder gar fachliche Entscheidung zu treffen. Anders lässt sich für mich nicht erklären, dass mit so einem Projekt mal wieder Millionen für etwas, das man nur noch wegwerfen kann, verbrannt wurden. Und es dabei sowohl auf der Fachebene als auch bei der Umsetzung an absolut technischen Grundlagen wie auch Verständnis für die eingesetzten Technologien und ihre Limitierung gemangelt hat."

"Man hat sich ein weiteres Mal – wie auch schon bei der ID-Wallet – von den Buzzwords blenden lassen und selbstverständlich mal wieder keinerlei Abschätzungen über die gesellschaftlichen Auswirkungen dieser Technologien gemacht oder gar Konsultationen mit Expertinnen auf dem Gebiet durchgeführt", erläutert Wittmann weiter.

Alles nur ein Test

Inzwischen hat auch die Bundesdruckerei Stellung zu den gefundenen Schwachstellen bezogen: "Gestern erhielten wir über Twitter den Hinweis von Sicherheitsforscherinnen und Sicherheitsforschern, dass das aktuelle Testsystem mehrere Schwachstellen enthält, die von potenziellen Angreifern ausgenutzt werden können. Unbefugten soll es möglich gewesen sein, (fiktive, nicht-signierte) Zeugnisse auszustellen. Aufgrund der Berichte bei Twitter wurde das Testsystem in Absprache mit dem Auftraggeber zunächst offline genommen, um die Berichte zu überprüfen und weitere Verbesserungen anzustoßen. Die Fehleranalyse läuft derzeit noch. Die Ergebnisse werden in die weitere Optimierung des Systems einfließen, der Test danach fortgesetzt.Die Ausstellung echter Zeugnisse war zu keinem Zeitpunkt möglich." Die Entwicklung an dem Projekt geht also offenbar im bisherigen Rahmen weiter.

