Eine internationale Forschungsgruppe, die sich „Project Team Prosecco“ nennt, hat neue Erkenntnisse über mögliche Angriffe auf kryptografische Hardware wie das Sicherheitssystem SecurID von RSA veröffentlicht. Dies führte zu schnellen Medienberichten mit Überschriften wie „Security-Experten knackten RSA SecurID-Token in Minuten“ oder „Forscher klauen Schlüssel aus RSA-Tokens“.
RSA weist die Berichte inzwischen mit einem nicht weniger eingängig betitelten Blogeintrag („Glauben Sie nicht alles, was Sie lesen“) zurück. Das Problem beim behaupteten Crack des Modells SecurID 800 bestehe darin, dass es einfach nicht wahr sei.
Die Sicherheitsforscher hatten in ihrem Bericht (PDF) „Efficient Padding Oracle Attacks on Cryptographic Hardware“ beschrieben, wie sie eine schon länger bekannte Angriffsmethode vielfach verbesserten, und daraus eine praktische Gefährdung abgeleitet: „Wir demonstrieren die Anfälligkeiten bei einer Anzahl von kommerziell erhältlichen kryptografischen Geräten einschließlich Security-Tokens, Smartcards und dem elektronischen Personalausweis von Estland. Die Angriffe sind effizient genug, um praktisch umsetzbar zu sein. Wir machen Zeitangaben für alle Geräte, die sich als anfällig erwiesen, und zeigen, wie unsere Optimierungen den qualitativen Unterschied für eine praktisch durchführbare Attacke ausmachen.“
Unter den anfälligen Geräten führten sie auch SecurID 800 von RSA auf, das über einen integrierten Smartchip und USB-Anschluss verfügt. Für Nutzer dieses Hardware-Tokens oder anderer RSA-Produkte bestehe jedoch keinerlei praktisches Risiko, erklärte dazu der Hersteller. In keinem Fall sei es einem Angreifer möglich, die auf der Smartcard gespeicherten Schlüssel zu kompromittieren.
„Es handelt sich nicht um eine ausnutzbare Angriffsmethode“, heißt es. „Die Forscher haben eine akademischen Übung durchgeführt, um auf eine spezielle Schwachstelle im Protokoll hinzuweisen. Ein Angriff erfordert aber Zugang zur Smartcard RSA SecurID 800 (wenn sie beispielsweise in einer kompromittierten Maschine eingesteckt ist) sowie der PIN des Smartcard-Nutzers. Wenn der Nutzer Smartcard und PIN hat, braucht er jedoch keinen Angriff mehr durchzuführen, so dass diese Forschungsarbeit nur geringe zusätzliche Erkenntnisse für die Sicherheit bringt.“
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.