Eine internationale Forschungsgruppe, die sich „Project Team Prosecco“ nennt, hat neue Erkenntnisse über mögliche Angriffe auf kryptografische Hardware wie das Sicherheitssystem SecurID von RSA veröffentlicht. Dies führte zu schnellen Medienberichten mit Überschriften wie „Security-Experten knackten RSA SecurID-Token in Minuten“ oder „Forscher klauen Schlüssel aus RSA-Tokens“.
RSA weist die Berichte inzwischen mit einem nicht weniger eingängig betitelten Blogeintrag („Glauben Sie nicht alles, was Sie lesen“) zurück. Das Problem beim behaupteten Crack des Modells SecurID 800 bestehe darin, dass es einfach nicht wahr sei.
Die Sicherheitsforscher hatten in ihrem Bericht (PDF) „Efficient Padding Oracle Attacks on Cryptographic Hardware“ beschrieben, wie sie eine schon länger bekannte Angriffsmethode vielfach verbesserten, und daraus eine praktische Gefährdung abgeleitet: „Wir demonstrieren die Anfälligkeiten bei einer Anzahl von kommerziell erhältlichen kryptografischen Geräten einschließlich Security-Tokens, Smartcards und dem elektronischen Personalausweis von Estland. Die Angriffe sind effizient genug, um praktisch umsetzbar zu sein. Wir machen Zeitangaben für alle Geräte, die sich als anfällig erwiesen, und zeigen, wie unsere Optimierungen den qualitativen Unterschied für eine praktisch durchführbare Attacke ausmachen.“
Unter den anfälligen Geräten führten sie auch SecurID 800 von RSA auf, das über einen integrierten Smartchip und USB-Anschluss verfügt. Für Nutzer dieses Hardware-Tokens oder anderer RSA-Produkte bestehe jedoch keinerlei praktisches Risiko, erklärte dazu der Hersteller. In keinem Fall sei es einem Angreifer möglich, die auf der Smartcard gespeicherten Schlüssel zu kompromittieren.
„Es handelt sich nicht um eine ausnutzbare Angriffsmethode“, heißt es. „Die Forscher haben eine akademischen Übung durchgeführt, um auf eine spezielle Schwachstelle im Protokoll hinzuweisen. Ein Angriff erfordert aber Zugang zur Smartcard RSA SecurID 800 (wenn sie beispielsweise in einer kompromittierten Maschine eingesteckt ist) sowie der PIN des Smartcard-Nutzers. Wenn der Nutzer Smartcard und PIN hat, braucht er jedoch keinen Angriff mehr durchzuführen, so dass diese Forschungsarbeit nur geringe zusätzliche Erkenntnisse für die Sicherheit bringt.“
[mit Material von Tom Brewster, TechWeekEurope]
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Neueste Kommentare
Noch keine Kommentare zu RSA widerspricht Berichten über unsichere SecurID-Token
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.