Eine internationale Forschungsgruppe, die sich „Project Team Prosecco“ nennt, hat neue Erkenntnisse über mögliche Angriffe auf kryptografische Hardware wie das Sicherheitssystem SecurID von RSA veröffentlicht. Dies führte zu schnellen Medienberichten mit Überschriften wie „Security-Experten knackten RSA SecurID-Token in Minuten“ oder „Forscher klauen Schlüssel aus RSA-Tokens“.
RSA weist die Berichte inzwischen mit einem nicht weniger eingängig betitelten Blogeintrag („Glauben Sie nicht alles, was Sie lesen“) zurück. Das Problem beim behaupteten Crack des Modells SecurID 800 bestehe darin, dass es einfach nicht wahr sei.
Die Sicherheitsforscher hatten in ihrem Bericht (PDF) „Efficient Padding Oracle Attacks on Cryptographic Hardware“ beschrieben, wie sie eine schon länger bekannte Angriffsmethode vielfach verbesserten, und daraus eine praktische Gefährdung abgeleitet: „Wir demonstrieren die Anfälligkeiten bei einer Anzahl von kommerziell erhältlichen kryptografischen Geräten einschließlich Security-Tokens, Smartcards und dem elektronischen Personalausweis von Estland. Die Angriffe sind effizient genug, um praktisch umsetzbar zu sein. Wir machen Zeitangaben für alle Geräte, die sich als anfällig erwiesen, und zeigen, wie unsere Optimierungen den qualitativen Unterschied für eine praktisch durchführbare Attacke ausmachen.“
Unter den anfälligen Geräten führten sie auch SecurID 800 von RSA auf, das über einen integrierten Smartchip und USB-Anschluss verfügt. Für Nutzer dieses Hardware-Tokens oder anderer RSA-Produkte bestehe jedoch keinerlei praktisches Risiko, erklärte dazu der Hersteller. In keinem Fall sei es einem Angreifer möglich, die auf der Smartcard gespeicherten Schlüssel zu kompromittieren.
„Es handelt sich nicht um eine ausnutzbare Angriffsmethode“, heißt es. „Die Forscher haben eine akademischen Übung durchgeführt, um auf eine spezielle Schwachstelle im Protokoll hinzuweisen. Ein Angriff erfordert aber Zugang zur Smartcard RSA SecurID 800 (wenn sie beispielsweise in einer kompromittierten Maschine eingesteckt ist) sowie der PIN des Smartcard-Nutzers. Wenn der Nutzer Smartcard und PIN hat, braucht er jedoch keinen Angriff mehr durchzuführen, so dass diese Forschungsarbeit nur geringe zusätzliche Erkenntnisse für die Sicherheit bringt.“
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…