Syss-Hack: Daten der IronKey-Kunden sind sicher
Die Sicherheitsfirma Syss GmbH meldet, das es gelungen ist, hardwarever-
schlüsselt USB-Laufwerke von ScanDisk, Kingston und Verbatim zu hacken. Einige dieser Laufwerke sind FIPS 140-2 Level 2 zertifiziert. Brisant ist, dass FIPS 140-2 Level 2 der geforderte Sicherheitsstandard der US-Regierung ist. Es stellen sich zwei wesentliche Fragen: Wie konnten Laufwerke mit einer so hohen Validierung „geknackt“ werden, und wie sicher ist Hardwareverschlüsselung wirklich?
(businesspress24) - IronKey, der weltweit in puncto Datensicherheit führende Anbieter hardwarverschlüsselter USB-Laufwerke, nimmt hierzu wie folgt Stellung: Die fraglichen Sticks haben einen wesentlichen Design-Fehler. Einfach ausgedrückt, arbeiten sie mit einer Software, die sich auf dem Host-PC befindet, und nach Eingabe des korrekten Passwortes ein immer gleiches Entsperr-Signal an das Laufwerk schickt. Syss hat ein Tool entwickelt, das die Software veranlaßt, dieses Signal immer zu schicken. Damit können sie auf jeden beliebigen Stick zugreifen, ohne das Passwort zu kennen.
Ironkey sieht zwei Sicherheitslücken in diesem System: Erstens befindet sich die Software, die das Passwort des Users verifiziert, auf dem Host-PC. Die Software ist dadurch leicht angreifbar, und kann gar nicht völlig sicher sein. Zweitens wurde für alle Laufwerke immer die gleiche Zeichenfolge verwendet, um diese zu entsperren. Das entspricht einem „Backdoor-Paßwort“ für alle Laufwerke. Jeder, dem dieses Signal bekannt ist, kann auf alle so verschlüsselten Sticks zugreifen - der Hersteller ebenso wie ein Hacker, der einmal in den Besitz dieser Zeichenfolge gelangt ist.
Die Frage, ob ein Ironkey-Laufwerk auf diese Weise angreifbar ist, wird klar verneint. Die Daten der IronKey-Kunden sind nach wie vor sicher. IronKey Geräte sind so konzipiert, dass sie die sichersten mobilen Speichermedien der Welt sind. IronKey prüft das Passwort auf dem Laufwerk, und verläßt sich nicht auf eine leicht angreifbare Software auf dem Host-PC. IronKey-Laufwerke haben keine Backdoors oder Entsperrcodes. IronKey hat derartigen Passwort-Replay Attacken durch Verwendung eines Zufallszahlengenerators vorgebeugt, und einen verschlüsselten Kommunikationsweg zwischen Host-PC und Laufwerk installiert.
Jedes Gerät von IronKey verfügt über eine einzigartige, zufällige AES-Verschlüsselung, die auf dem Gerät erzeugt wird, wenn ein Benutzer sie initialisiert. Diese Schlüssel können nicht aus dem Gerät exportiert werden. Darüber hinaus werden die Schlüssel vom Passwort des Benutzers mit SHA-256 Hash erneut verschlüsselt, was dem Schutz der Schlüssel zusätzliche kryptographische Sicherheit verleiht. IronKey-Laufwerke speichern Entschlüsselungssignale und die Zahl der falschen Passworteingaben auf einem zusätzlich gegen physische Attacken gesicherten Cryptochip im Laufwerk selbst.
Die Frage, wie Laufwerke mit derartigen Sicherheitslücken überhaupt nach FIPS 140-2 Level 2 zertifiziert werden konnten, beantwortet IronKey so: FIPS 140-2 Level 2 ist ein Sicherheitsstandard der US-Regierung, und garantiert nicht für die Sicherheit eines Produktes. Es ist kein Ersatz für technisches Know-How bei der Konzeption und Umsetzung eines Security-Produktes. Einige Hersteller meinen, dass Datensicherheit mit Datenverschlüsselung gleich zu setzen ist. Tatsächlich ist Verschlüsselung ein kleiner Teil des Gesamtkonzeptes der Datensicherheit bei tragbaren Speichermedien. Es ist tiefgehendes Wissen in den Bereichen Passwort-Management, Authentifizierung, Verschlüsselung Schlüssel-Management, Aufgaben und Dienstleistungen, Design-Sicherung und physischer Sicherheit erforderlich.
In diesem Fall haben die betroffenen Hersteller Produkte entwickelt, die letztendlich immer das gleiche Passwort benutzten, um ihre Geräte zu entsperren, und sind trotzdem nach FIPS 140-2 Level 2 validiert worden. Es ist äußerst wichtig, dass Anbieter von Sicherheitslösungen eine ordnungsgemässe Sicherheits-Architektur und Überprüfung für ihre Entwürfe entwickeln, und sich nicht nur auf den FIPS-Review-Prozess stützen.
Weitere Informationen zu den USB-Laufwerken von IronKey sowie ausführliche Produktbeschreibungen auf deutsch findet man bei StoreGate.
Themen in dieser Pressemitteilung:
ironkey
verbatim
scandisk
kingston
verbatim
syss
hack
hardwareverschluesselung
datensicherheit
usb
extern
speicher
laufwerke
Unternehmensinformation / Kurzprofil:
StoreGate.de ist ein Online-Shop, der nur modernste Technik- und Lifestyleprodukte anbietet. Hauptsächlich geht es um Datensicherheit mit dem IronKey, dem derzeit sichersten USB-Stick der Welt, aus Los Altos, Kalifornien. Der Key ist in allen in den USA erhältlichen Ausführungen verfügbar. Der Key ist in verschiedenen Versionen und Modellen erhältlich. Geboten werden Speicherkapazitäten von 1 GB bis 32 GB. Die Ware wird nach Deutschland importiert, und bereits verzollt ausgeliefert.
InterAgentur AG
für StoreGate
Bahnhofstraße 10
CH - 3900 Brig
eMail: service(at)storegate.info
Deutsche Servicehotline: 0180 50 666 50*
*14 Cent/Minute aus dem dt. Festnetz
Datum: 08.01.2010 - 11:18 Uhr
Sprache: Deutsch
News-ID 150586
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner:
Stadt:
Telefon:
Kategorie:
Business Intelligence
Anmerkungen:
Diese Pressemitteilung wurde bisher 186 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Syss-Hack: Daten der IronKey-Kunden sind sicher
"
steht unter der journalistisch-redaktionellen Verantwortung von
InterAgentur AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
