Peripherie & Multimedia

01.01.2010 15:16

Sandisk & Kingston: USB-Verschlüsselung lückenhaft

Die Sicherheitsexperten von Syss haben im Rahmen des 26. Chaos Communication Congress (26C3) auf Fehler bei verschlüsselten USB-Sticks aufmerksam gemacht. Ein Zugriff auf die Daten des mobilen Speichers war in mehreren Fällen auch ohne gültiges Kennwort möglich, heißt es.

Betroffen sind USB-Sticks von den Herstellern Sandisk und Kingston. Die portablen Massenspeicher sind nach dem FIPS-Standard der NIST für den Einsatz beim US-amerikanischen Militär sowie bei der US-amerikanischen Regierung zertifiziert. Laut den Experten lässt sich die Passwortabfrage auf einfache Weise umgehen, da die Hersteller nicht auf eine Hardware-Verschlüsselung, sondern auf eine Softwarelösung setzen.

Hierbei soll es keine Rolle spielen, welches Kennwort eingegeben wurde. Dies habe damit zu tun, dass die Kennwortüberprüfung einen bestimmten Wert, der sich allerdings nie ändern soll, zurückgeben muss.

Folglich könne man den USB-Sticks vorspielen, dass ein korrektes Kennwort eingegeben wurde, so die Experten. Letztlich könnten sich auch Unbefugte ohne größeren Aufwand Zugriff auf die gespeicherten Dateien verschaffen.

Die beiden Hersteller Sandisk und Kingston haben bereits auf dieses Problem reagiert und entsprechende Software-Updates für die betroffenen Geräte veröffentlicht.

Nach der Installation dieser Updates bestehe die geschilderte Problematik nicht mehr, teilten die Hersteller mit.

Sebastian Gruber

Weitere Nachrichten zum Thema

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

Also kann man "einfach" den Flash Speicher ausbauen und in einem geeigneten Lesegerät ohne Probleme auslesen, da ja nur der leichte Zugriff mittels des eingebauten Controllers durch ein Passwort geschützt ist. Also für Geheimdienste und Hobbyhacker sicher kein Problem. Für Geheimdokumente sollte man wirklich auch echte Verschlüsselung setzten. Oder verstehe ich das falsch, und der Speicher ist richtig verschlüsselt, allerdings ist das Masterpasswort im Controller gespeichert, welches nach korrekter Passwortabfrage freigegeben wird?

[re:1] am

@Chief: Der Speicherinhalt ist mit einem Master-Key verschlüsselt, der sich nie ändert. Einzig die Freigabe dieses Master-Keys wird von der Software entweder autorisiert, oder eben nicht. So hab ichs verstanden.

[re:2] am

@Chemist: Dann würde ich auch sagen, dass es unsicher ist, wenn der Master Key fix ist. Den gibt ja dann der Hersteller vor und kann so auch sicher den Speicher entschlüsseln, oder wenn der Masterkey bzws. Masterkeys (vielleicth abhängig von Seriennummer oder so, ...) leaked ist die ganze Verschlüsselung wertlos. Warum genereirt man nicht aus dem Passwort einen Masterkey, wäre doch viel sicherer?

[re:3] am

@Chief: Leider sind, was sicherer, oder besser wäre, und das was man schlampig implementiert ums möglichst schnell mit möglichst viel Gewinn zu verkaufen zwei verschiedene paar Schuhe. Mich wundert bloß, dass diese USB-Sticks, ohne Einblicke in die Entwicklung oder der genauen Methoden nach FIPS-Standard zertifiziert waren. IMO auch etwas schlampig, dafür, dass diese Sticks für Regierungsdaten verwendet werden dürfen.

Bearbeitet am 01.01.10 um 20:35 Uhr.

[re:4] am

(+1)

@Chemist: Naja, die Amis stört es anscheinend nicht, die Drohnen funken ja auch unverschlüsselt :-) Aber das ist eine echte Schweinerei. Am besten nimmt man gewöhnliche USB Sticks und verschlüsselt sie mit einer Softwarelösung ala Truecrypt, LUKS, cryptsetup, .... . Das wäre wenigstens sicherer und billiger :-)

Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an

oder verwenden Sie Ihren bestehenden Zugang.

Benutzername oder Passwort vergessen?