Leserforum

Kryptoverfahren für Passkeys

Passkeys: So schützen Sie Ihre Accounts mit dem Passwort-Nachfolger, c’t 18/2023, S. 14

Sie schreiben, dass ein Public-Private-Key-Verfahren eingesetzt wird. Aber welches denn? Und gibt die FIDO Alliance da etwas vor? Wenn rein theoretisch RSA 1024 Bit erlaubt ist und jemand Passkeys mit RSA 1024 implementiert, sind die gar nicht mehr so sicher.

Thomas Englert

Bei Passkeys können verschiedene Kryptoverfahren zum Einsatz kommen, darunter auch RSA. Bei RSA ist eine minimale Schlüssellänge von 2048 Bit vorgeschrieben.

Phishing-Schutz

Ich lese jetzt zum wiederholten Mal, dass Passkeys vor Phishing schützen, weil die Domain der Website automatisch in die Authentifizierung einfließt. Was genau steckt dahinter? Natürlich hat im Idealfall nur die „richtige“ Website den zu meinem Private Key passenden Public Key. Ist das alles? Ich habe den Eindruck, da ist mehr, aber es hat noch niemand den Mechanismus erklärt.

Dr. Martin Jung

Die Domain ist bei Passkeys das wichtigste Sicherheitsmerkmal gegen Phishing. Der Browser meldet die Domain über das sogenannte Client to Authenticator Protocol (CTAP2) direkt an den Authenticator. Ein Angreifer hat keine Chance, hier einzugreifen und die Domain zu manipulieren. Der Authenticator ist üblicherweise ein separater Prozess, mit dem der Angreifer nicht direkt kommunizieren kann.

Beim späteren Einloggen entscheidet der Authenticator anhand der vom Browser bereitgestellten Domain, ob es Passkeys für diese Domain gibt. Anders als der Nutzer fällt der Browser nicht auf Tricks wie Tippfehler-Domains herein, was diese Technik resistent gegen Phishing macht. Wichtig ist aber, dass die Website ein vertrauenswürdiges TLS-Zertifikat zur Domain mitschickt. Ohne TLS-Zertifikat ist auch keine Passkey-Authentifizierung möglich.

Erbeutete Schlüssel

Ich habe bezüglich des Passkey-Verfahrens zwei Fragen. Wenn es einem Dieb gelingt, meinen privaten Schlüssel zu erbeuten, kann er sich dann auf Fremdgeräten in meine Passkey-gesicherten Konten anmelden, sofern er meine Anmelde-PIN kennt? Und hat automatisch jeder, der sich auf dem Gerät mit dem privaten Schlüssel anmelden kann, dann sofort vollen Zugriff auf alle meine Passkey-geschützten Konten?

Peter Laipple

Bei Passkeys besitzen Sie für jeden einzelnen Account bei jedem Webdienst einen privaten Schlüssel. Wird einer dieser Schlüssel erbeutet, kann sich der Angreifer damit nur bei einem Account einloggen. Es ist sehr schwierig, die privaten Schlüssel der Passkeys zu erbeuten, insbesondere, wenn Sie die Systemfunktionen von Apple, Google und Microsoft oder – noch besser – einen FIDO2-Stick für Passkeys verwenden.

Wenn Sie hingegen einen Passwortmanager einsetzen, werden die privaten Schlüssel zur Laufzeit des Passwortmanagers in den Arbeitsspeicher entschlüsselt, nachdem Sie Ihr Masterpasswort eingegeben haben. Auf den Arbeitsspeicher können prinzipiell auch Trojaner zugreifen.

Die PIN zum Entsperren des Passkey-Authenticators spielt nur eine Rolle, wenn dem Angreifer Ihr Rechner oder Ihr Smartphone in die Hände fällt. Er kann die Passkeys damit zum Einloggen benutzen, sie aber nicht kopieren.

Nix ist da intelligent

Google Bard: Leiharbeiter beschweren sich, c’t 18/2023, S. 47

Ein interessanter Einblick, aber im Lichte ähnlich gelagerter Fälle bei Facebook & Co. nicht überraschend. So viel zur „Intelligenz“ im reichlich überstrapazierten Begriff „KI“. Intelligent ist da nix, wenn es so viel Aufwand von Menschen braucht, die diesen automatisch programmierten Programmen vorkauen, was sie „wissen“ dürfen.

Patrik Schindler

Sie wollen nur unser Bestes

Der Kampf ums Cockpit zwischen Autoherstellern, Apple und Google, c’t 18/2023, S. 58

Außer dem Versuch, Kohle zusätzlich abzugreifen, kann ich wirklich keinerlei Sinn in Multimediasystemen von Autoherstellern erkennen. Alles, was die je anbieten können, gibt es fürs Smartphone, und vieles kann über CarPlay oder Android Auto auf einem Bildschirm angezeigt werden. Viel mehr Auswahl, viel mehr Ideen. Will ich noch ein Softwaresystem pflegen und bedienen lernen? Nein. Die Zeit eingebauter Navisysteme ist eigentlich vorbei.

Die Aussage im Artikel, man könne die Smartphone-Anbindung für 100 bis 300 Euro reinkonfigurieren, ist nach meinem letzten Kenntnisstand nicht ganz richtig. Bei Mercedes, wo man zwar nicht viel dafür zahlen musste, war es nur buchbar zusammen mit dem Navi, und das war halt richtig teuer und würde ungenutzt bleiben. Woanders mag das anders sein.

Thyl Engelhardt

Kabelsalat

Android Auto und CarPlay in Fahrzeugen jeden Alters nachrüsten, c’t 18/2023, S. 70

So funktioniert das bei VW: „Nachrüsten von Android Auto und CarPlay ist bei Ihrem Infotainmentsystem doch überhaupt kein Problem. Geben Sie mal die Fahrgestellnummer … Oha, da haben wir aber ein Problem. Ich sehe, dass ja gar kein Tempomat in Ihrem Auto ist. Dann fehlt da natürlich auch der Kabelbaumstrang, der nötig wäre, um beim Infotainmentsystem Android Auto und CarPlay freizuschalten. Tut mir leid …“

So geschehen 2020 bei einem ein Jahr alten Passat. VW baut tatsächlich in jedes Auto der oberen Mittelklasse ein annähernd gleiches Infotainmentsystem ein und die Nachrüstung ist allein von den verbauten Kabelbaumsträngen abhängig.

Hagjo1

Neues Zeugs

So nett das alles ist, aber brauche ich es wirklich? Ich hab ein aktuelles Fahrzeug mit dem heute üblichen Touchscreen, mit Navi, Bluetooth-Handyanbindung, DAB+ und all dem Zeugs. Und ich hab einen 89er VW T3 mit Saugnapf-Navi und einem aktuellen DIN-Radio. Was vermisse ich, wenn ich mit dem Bulli fahre von all dem neuen Zeugs?

Nichts, aber auch gar nichts. Das Livetime-Kartenupdate von Garmin bekomme ich immer noch umsonst, obwohl das Navi fünf Jahre alt ist. Das letzte ist von Herbst 22, teils von Frühjahr 23. Das vom Neuwagen ist trotz sauteurem Jahresabo von Ende 21, teils von Frühjahr 22. Und telefonieren muss ich während des Fahrens nicht. Aktuelle Verkehrsmeldungen gibt es vom Smartphone und außerdem gibt es noch Google-Maps-Routen.

muekno

Fahrzeuge jeden Alters?

Wie ist das, wenn man keine Fahrzeugbatterie und vielleicht auch nur 6 Volt hat? Die Schwulima [Schwunglichtmagnetzündung, Anm. d. Red.] speist rohe, gepulste Gleichspannung, die bei niedriger Drehzahl auch noch von derselben abhängt, ins Bordnetz. Der Spannungsregler schließt brutal kurz und das Bordnetz ist voll von knallharten Transienten bis in den Kilovoltbereich – eine Freude für jede Elektronik.

Ich würde „jeden Alters“ etwas relativieren und auf Fahrzeuge mit modernem Generator abschwächen. In einem Fahrzeug aus den 50ern und älter will man aber sicher auch gar keinen Computerschnickschnack.

Frutsch

Die gleichen Floskeln

Merkwürdige Berechnungen für Energiepreisbremse bei Vattenfall, c’t 18/2023, S. 56

Mit Interesse und gleichzeitiger Verwunderung habe ich Ihren Artikel über Andreas H. gelesen, der bei seiner Gasrechnung sozusagen ausgebremst wurde. Ich besitze ein Haus, in dem meine Mutter wohnt. Im März wurde ich vom Gaslieferanten Goldgas über den ominösen prognostizierten Jahresverbrauch und das daraus resultierende „Entlastungskontingent“ informiert. Die Zahlen liegen circa 40 Prozent unter dem realen Verbrauch. Auf Nachfrage wurde ich an den Netzbetreiber verwiesen. Dort nannte man mir zur Begründung die gleichen Floskeln, die auch Sie zitieren.

Ich rief den Netzbetreiber AggerEnergie an meinem Wohnort nahe Köln an und fragte, wie das wohl dort gehandhabt würde. Ich erhielt die gleichen Antworten, verbunden mit einem üblen Geschimpfe auf den Gesetzgeber über die unzumutbaren Herausforderungen, die man den Netzbetreibern damit zumuten würde. Sie sehen: Andreas H. ist nicht allein!

Axel Petry

Nicht wirklich kompakt

Kompaktes Android-Smartphone Asus Zenfone 10, c’t 18/2023, S. 82

Offensichtlich haben Sie das neue Smartphone aus der Perspektive von Riesen betrachtet. Von „Zwerg“ kann weder bei diesem Gerät noch beim kleinsten der drei Samsung S23-Modelle die Rede sein. Beide sind noch so sperrig, dass sie kaum in der Hosentasche zu tragen sind, erst recht nicht auf dem Fahrrad.

Es ist wirklich erstaunlich, wie stark das Portfolio der angebotenen Waren im Zeitalter globaler Märkte geschrumpft ist. Es gibt immer viele Anbieter, aber nur wenige Produktvarianten. Alle folgen mehr oder weniger dem Mainstream. So gibt es in der Tat kein wirklich kompaktes High-End-Smartphone mehr auf dem Markt.

Claus P. Baumeister

Fortran bis heute

Fortran, die Mutter der höheren Programmiersprachen, c’t 18/2023, S. 138

Ich habe 1980 noch Fortran IV an der RWTH gelernt und benutze die Sprache bis heute. Für die Berechnung der Betriebspunkte eines Lichtbogenofens in der komplexen Ebene wird es mit anderen Sprachen schwer. Die Ein- und Ausgabe erfolgte damals mit Quick-BASIC (EGA-Bildschirm), in das ein Fortran-Unterprogramm für die komplexe Rechnung eingebunden war. Seit ein paar Jahren habe ich eine Excel-Tabelle mit einem VBA-Programm für die Ausgabe mit DXF- und SVG-Dateien. Die Berechnung der Datenpunkte erfolgt separat mit einem Fortran-Programm.

Ingo Seiffen

Ergänzungen & Berichtigungen

Größtes Display kleiner

Titel und Inhaltsverzeichnis: Das größte Display der Welt, c’t 18/2023, S. 48

Die Displayfläche des MSG Sphere in Las Vegas beträgt nur 54.000 m².

Mehr Anfragen bei ChatGPT

Was ChatGPT-Plug-ins können, c’t 18/2023. S. 128

Das Anfragelimit für GPT-4 wurde kurz nach Redaktionsschluss erhöht. Statt 25 Anfragen sind jetzt 50 Anfragen pro drei Stunden erlaubt.