Eine internationale Forschungsgruppe, die sich „Project Team Prosecco“ nennt, hat neue Erkenntnisse über mögliche Angriffe auf kryptografische Hardware wie das Sicherheitssystem SecurID von RSA veröffentlicht. Dies führte zu schnellen Medienberichten mit Überschriften wie „Security-Experten knackten RSA SecurID-Token in Minuten“ oder „Forscher klauen Schlüssel aus RSA-Tokens“.
RSA weist die Berichte inzwischen mit einem nicht weniger eingängig betitelten Blogeintrag („Glauben Sie nicht alles, was Sie lesen“) zurück. Das Problem beim behaupteten Crack des Modells SecurID 800 bestehe darin, dass es einfach nicht wahr sei.
Die Sicherheitsforscher hatten in ihrem Bericht (PDF) „Efficient Padding Oracle Attacks on Cryptographic Hardware“ beschrieben, wie sie eine schon länger bekannte Angriffsmethode vielfach verbesserten, und daraus eine praktische Gefährdung abgeleitet: „Wir demonstrieren die Anfälligkeiten bei einer Anzahl von kommerziell erhältlichen kryptografischen Geräten einschließlich Security-Tokens, Smartcards und dem elektronischen Personalausweis von Estland. Die Angriffe sind effizient genug, um praktisch umsetzbar zu sein. Wir machen Zeitangaben für alle Geräte, die sich als anfällig erwiesen, und zeigen, wie unsere Optimierungen den qualitativen Unterschied für eine praktisch durchführbare Attacke ausmachen.“
Unter den anfälligen Geräten führten sie auch SecurID 800 von RSA auf, das über einen integrierten Smartchip und USB-Anschluss verfügt. Für Nutzer dieses Hardware-Tokens oder anderer RSA-Produkte bestehe jedoch keinerlei praktisches Risiko, erklärte dazu der Hersteller. In keinem Fall sei es einem Angreifer möglich, die auf der Smartcard gespeicherten Schlüssel zu kompromittieren.
„Es handelt sich nicht um eine ausnutzbare Angriffsmethode“, heißt es. „Die Forscher haben eine akademischen Übung durchgeführt, um auf eine spezielle Schwachstelle im Protokoll hinzuweisen. Ein Angriff erfordert aber Zugang zur Smartcard RSA SecurID 800 (wenn sie beispielsweise in einer kompromittierten Maschine eingesteckt ist) sowie der PIN des Smartcard-Nutzers. Wenn der Nutzer Smartcard und PIN hat, braucht er jedoch keinen Angriff mehr durchzuführen, so dass diese Forschungsarbeit nur geringe zusätzliche Erkenntnisse für die Sicherheit bringt.“
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…