Wie Krypto-USB-Sticks nicht funktionieren sollten

Wieder einmal gibt es ein schönes Beispiel dafür, dass jedes Sicherheitskonzept nur so gut ist wie das schwächste Glied.

Auf heise.de wird über USB Sticks berichtet, die Daten mit 256-Bit AES verschlüsseln. Nun ist das ja eigentlich eine gute Verschlüsselung und nicht angreifbar (Stand heute). Die Spezialisten von Syss haben sich deshalb mal die beigefügte Software angesehen. Was sie da gefunden haben, macht einen sprachlos: nach Eingabe des Passwortes wird ein String zum Stick geschickt. Dieser String ist aber immer gleich, egal wie das Passwort lautet. Betrachtet man sich die Sticks verschiedener Hersteller, findet man wohl dort auch denselben String.

Damit war der Angriffsvektor klar: ein kleines Programm schickt, unabhängig von der Korrektheit des Passwortes, immer den String zum Stick. Ergebnis: ohne Kenntnis des Passwortes hat man Zugriff auf die Daten.

*facepalm*

]]>

Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.