Nach der Analyse von Canons Hardware haben die IT-Forscher aus ElcomSoft bewiesen, dass geheime Schlüssel zur Berechnung der Authentifikationsdaten, aus Canons EOS-Kameras extrahiert werden können. Die Forscher haben die Schlüssel extrahiert und authentische digitale Signaturen zu gefälschten Bilder hinzugefügt. Canon Original Data Security Kit OSK-E3 identifizierte die Fotos, die mit dem extrahierten Schlüssel gezeichnet wurden, als authentisch und unbearbeitet.
Die Schwachstelle ist in allen bis zum heutigen Tag hergestellten Canon-Kameras mit der Sicherheitsfunktion anwesend. Die Schwachstelle macht alle aktuellen Kameras für Verfälschung anfällig, das heißt die ganze Reihe von Consumer-Kameras (z.B. Digital Rebel XS, auch bekannt als EOS 1000D in Europa und Kiss F in Japan) und professionellen digitalen Spiegelreflexkameras wie die neueste EOS-1D Mark IV.
ElcomSoft gibt keine technischen Details frei. ElcomSoft hat doch Canon die Schwachstelle zur Kenntnis gebracht, indem die Firma den Kamera-Hersteller als auch CERT Coordination Center benachrichtigte.
ElcomSoft hat eine Reihe von gefälschten Bildern, die von Canon Original Data Security Kit OSK-E3 als unbearbeitet identifiziert wurden, zur Verfügung des Publikums gestellt (http://www.canon.co.jp/...). Die Bilder sind auf http://canon.elcomsoft.com/ verfügbar.
Über Canon Original Data Security System
Original Data Security System wurde von Canon Inc. als Validierungsmittel der Echtheit von Bildern eingesetzt. Digitale Fotos werden von Canons Spiegelreflexkameras mit einem sicheren Hash gezeichnet. Digitale Signaturen werden in jedem Bild eingelassen (*). Später kann Canon Original Data Security Kit OSK-E3 die Echtheit jedes Bildes und dessen Meta-Daten wie Zeit und Ort eines Schnappschusses validieren. Original Data Security System wurde eingesetzt, um sicher zu machen, dass Fotos und deren Meta-Daten unverändert werden. Die globalen Nachrichtenagenturen, darunter Associated Press, verwenden Canon Original Data Security System, um die Echtheit und Authentizität von Bildern zu garantieren.
(*) Man muss eine integrierte Option " Daten zur Echtheitsbestimmung hinzufügen" aktivieren.
(**) Geotargeting-Informationen werden von gewissen Kameras mit integrierten oder externen GPS-Empfänger eingelassen.
Eine Reihe von gefälschten Bildern, die von Canon Original Data Security Kit OSK-E3 als unbearbeitet identifiziert wurden, ist auf http://canon.elcomsoft.com/ verfügbar.