News

BSI überarbeitet Richtlinie RESISCAN, verbietet JBIG2

Im Nachgang zur Xerox-Saga und meinem 31C3-Vortrag überarbeitet das Bundesamt für Sicherheit in der Informationstechnik seine Richtlinie zum „Ersetzenden Scannen“ (= Rechtssicheres Scannen von Dokumenten unter Vernichtung der Originale). Vorab ist gestern einer der Kernpunkte der Überarbeitung auf der RESISCAN-Webseite des BSI erschienen. Ich zitiere:

Bei der Umsetzung der TR-RESISCAN ist hinsichtlich der Auswahl geeigneter Kompressionsverfahren folgende Regelung zu beachten:

  • Beim Scannen MUSS auf die Auswahl geeigneter Bildkompressionsverfahren geachtet werden.
  • Als grundsätzlich geeignet werden sowohl verlustfreie als auch verlustbehaftete Verfahren angesehen.
  • Verfahren, die zur Bildkompression die sog. „Pattern Matching & Substitution“ - Vorgehensweise nutzen, DÜRFEN NICHT eingesetzt werden. Auch das verwandte „Soft Pattern Matching“ DARF NICHT eingesetzt werden.

[…] Diese Regelung ist ab sofort (16.03.2015) gültig und wird mit dem nächsten Release in die Technische Richtlinie BSI TR-03138 aufgenommen.

Pattern Matching & Substitution ist die Standardvorgehensweise bei lossy JBIG2, und Soft Pattern Matching die bei lossless JBIG2 (Infos hier oder in den Veröffentlichungen von Paul Howard et al.1)). Es werden also sowohl die verlustfreie, als auch die verlustbehaftete Variante des verbreiteten JBIG2-Formats „verboten“. Im JBIG2-Standard heißt das ganze „Symbol Matching“.

Den ein oder anderen Leser mag es überraschen, dass auch Seiten, die mit lossless JBIG2 komprimiert wurden, nun plötzlich nicht mehr rechtssicher sein sollen. Immerhin ist es doch schon etwas wert, wenn mittels lossless JBIG2 sichergestellt ist, dass sich die Bilddaten nicht verändern. Die Krux liegt hier in der rechtlichen Praxis:

1)
vgl. z.B. Howard, P.G.; Kossentini, F.; Martins, B.; Forchhammer, S.; Rucklidge, W.J., „The emerging JBIG2 standard“, IEEE Transactions on Circuits and Systems for Video Technology, vol.8, no.7, pp.838,848, Nov 1998, doi: 10.1109/76.735380.

Hätt' ich jemandes Mailadresse gehackt ...

Wie heute durch die Massenmedien geht, wurden 16 Millionen Mailadressen gekapert (siehe auch). In der Folge hat das BSI eine spezielle Internetseite eingerichtet, auf der man seine Mailadresse in ein Formular eingeben kann. Ist die Mailadresse gekapert, so bekommt man ans gekaperte Mailpostfach eine Mail. Ist die Mailadresse nicht gekapert, erhält man – nichts.

Preisfrage: Ein Bösewicht kapert 16 Millionen Mailadressen, die zum Großteil mit dem fortschrittlichen IMAP-Protokoll ansprechbar sein dürften. Da er ja nun die Kontrolle über die Mailbox hat, könnte er eine dorthin geschickte Mail des BSI z.B. relativ verzögerungsfrei löschen oder das BSI präventiv auf die Spamlist setzen (cooler Einfall von Michael, danke). Dann sieht es für den betroffenen Benutzer so aus, als … na? … wäre sein Postfach nicht gekapert. Denn wenn es nicht gekapert ist, erhält man nach Eingabe seiner Mailadresse ins BSI-Prüfformular ja keine eMail vom BSI! m(

Es kommt aber noch besser.