Kleine Info für Knobler: Die Schweizer Eidgenossenschaft ist gerade dabei ein Covid-Zertifikat in den Kantonen einzuführen. Parallel laufen diverse Sicherheitsanalysen. Um das Sicherheitsniveau dieses Zertifikats überprüfen zu lassen, hat das Nationale Testinstitut für Cybersicherheit (NTC) lediglich Stichproben durchgeführt. Allerdings steht der Quellcode des Covid-Zertifikats auch öffentlich auf GitHub zur Verfügung.
Anzeige
Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Covid-Zertifikats zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Public Security Test läuft bereits seit dem 31. Mai 2021, Blog-Leser Adrian W. hat mich die Tage darauf hingewiesen (danke dafür). Weitere Hinweise finden sich in nachfolgendem Text, der hier veröffentlich wurde (ich ziehe den Text mal heraus, falls die Seite gelöscht wird).
Covid-Zertifikat – Public Security Test
Zurzeit laufen intensive Arbeiten für das Covid-Zertifikat, das ab 7. Juni schrittweise in den Kantonen eingeführt wird. Begleitet durch das Nationale Zentrum für Cybersicherheit (NCSC) werden zur Erlangung eines angemessenen Sicherheitsniveaus verschiedene Sicherheitsanalysen durchgeführt. Aufgrund des engen Zeitplans wurden bislang stichprobenhafte Untersuchungen durch das Nationale Testinstitut für Cybersicherheit (NTC) durchgeführt. Um die bisherigen Erkenntnisse zusätzlich weiter abzustützen, wird das System nun im Rahmen eines Public Security Tests durch weitere Fachleute und interessierte Personen einem Härtetest unterzogen. Ab sofort steht deshalb der Quellcode des Covid-Zertifikats auch öffentlich zur Verfügung (https://github.com/admin-ch/CovidCertificate-Documents). Die im Rahmen dieser Tests festgestellten Sicherheitslücken werden aufgenommen und fliessen laufend in die Entwicklung ein. Die Erkenntnisse aus den bisher durchgeführten Tests werden in den nächsten Tagen veröffentlicht.
Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.
Der Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und hat den Anspruch auf volle Transparenz. Meldungen von Testergebnissen erfolgen auf der Webseite des NCSC und können dort detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden regelmässig aktualisiert.
Anzeige
Die haben das alle nicht ganz verstanden. Die Offenlegung des Quelltextes ist gut für die Transparenz, aber das ersetzt doch keinen bezahlten Pentest-Auftrag.
CCC-Sprecher Linus Neumann sagte zum Thema Luca: «Der #CCC ist doch nicht der kostenlose TÜV für Covid-Glücksritter.»
+1
An info bei admin.ch kannst Du das schreiben. Ich bin gespannt auf die hochstehende Antwort, welche Du erhalten wirst.
Bevor ich das schreibe, müßte ich mir erstmal noch genau anschauen, was sie so gemacht haben an Entwicklung und Prüfung. Meine Aussage war etwas unfair auf die ganzen Coronaprojekte der letzten Monate pauschalisiert.
Das ist mal eine gute Selbstreflektion!
Denn imho, ist es ein sehr gutes Vorgehen, den Code öffentlich zu machen um das ganze zu prüfen…
ich möchte "euch" dann mal "hören", wenn Sie kommunizieren würden "wir haben ausführliche Pentests usw. gemacht und ein entsprechendes Zertifikat…alles safe….", aber der Code nicht öffentlich zugänglich wäre, ja das gäbe dann ein Geschrei (berechtigerweise) und wohl das "fatale" daran, dann würden alle Security-Spezis mal den ganzen Datenverkehr genau unter die Lupe nehmen, aber wenns richtigerweise öffentlich zugänglich gemacht wird, interessierts "keinen" mehr…verkehrte Welt.
imho ist dies grundsätzlich ein sehr kluges und gutes Vorgehen, völlig klar, das sie selber vorgängig oder min. parallel dazu ausführliche Tests machen müssen.
In England werden in Kürze 67 Millionen Patientendaten (Gesundheitsakten) für externe Firmen zugänglich gemacht, sofern die einzelnen Bürger dem nicht widersprechen.
*ttps://www.dailymail.co.uk/health/article-9661639/So-access-medical-records.html