Sandisk & Kingston: USB-Verschlüsselung lückenhaft

Peripherie & Multimedia Die Sicherheitsexperten von Syss haben im Rahmen des 26. Chaos Communication Congress (26C3) auf Fehler bei verschlüsselten USB-Sticks aufmerksam gemacht. Ein Zugriff auf die Daten des mobilen Speichers war in mehreren Fällen auch ohne gültiges ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Also kann man "einfach" den Flash Speicher ausbauen und in einem geeigneten Lesegerät ohne Probleme auslesen, da ja nur der leichte Zugriff mittels des eingebauten Controllers durch ein Passwort geschützt ist. Also für Geheimdienste und Hobbyhacker sicher kein Problem. Für Geheimdokumente sollte man wirklich auch echte Verschlüsselung setzten.
Oder verstehe ich das falsch, und der Speicher ist richtig verschlüsselt, allerdings ist das Masterpasswort im Controller gespeichert, welches nach korrekter Passwortabfrage freigegeben wird?
 
@Chief: Der Speicherinhalt ist mit einem Master-Key verschlüsselt, der sich nie ändert. Einzig die Freigabe dieses Master-Keys wird von der Software entweder autorisiert, oder eben nicht.
So hab ichs verstanden.
 
@Chemist: Dann würde ich auch sagen, dass es unsicher ist, wenn der Master Key fix ist. Den gibt ja dann der Hersteller vor und kann so auch sicher den Speicher entschlüsseln, oder wenn der Masterkey bzws. Masterkeys (vielleicth abhängig von Seriennummer oder so, ...) leaked ist die ganze Verschlüsselung wertlos. Warum genereirt man nicht aus dem Passwort einen Masterkey, wäre doch viel sicherer?
 
@Chief: Leider sind, was sicherer, oder besser wäre, und das was man schlampig implementiert ums möglichst schnell mit möglichst viel Gewinn zu verkaufen zwei verschiedene paar Schuhe.
Mich wundert bloß, dass diese USB-Sticks, ohne Einblicke in die Entwicklung oder der genauen Methoden nach FIPS-Standard zertifiziert waren. IMO auch etwas schlampig, dafür, dass diese Sticks für Regierungsdaten verwendet werden dürfen.
 
@Chemist: Naja, die Amis stört es anscheinend nicht, die Drohnen funken ja auch unverschlüsselt :-) Aber das ist eine echte Schweinerei. Am besten nimmt man gewöhnliche USB Sticks und verschlüsselt sie mit einer Softwarelösung ala Truecrypt, LUKS, cryptsetup, .... . Das wäre wenigstens sicherer und billiger :-)
 
@Chief: Billiger ist es, aber wie kommst du auf sicherer? Weil dir die Methoden unbekannt sind wie man Truecrypt & Co. aushelbelt? Nur Geduld, das wird auch noch irgendwann veröffentlicht. Außerdem: Warum willst du deine Daten besser schützen als deine Türen, Fenster oder dein Auto? Oder glaubst du die sind sicher? Ein Profi braucht rd 1min um da überall reinzukommen, 45 Sekunden davon lacht er sich kaputt über die Einfältigkeit der Leute.
 
@SkyScraper: TrueCrypt lässt sich mit Sicherheit aushebeln, aber ziemlich sicher auch erst genau dann, wenn man administrativen Zugriff auf einen PC hat, an dem das Volume gerade gemountet ist.
Hier scheint es ja möglich zu sein, dem Controller oder einer Funktion des Programmes einfach einen Wert zurück zu liefern, damit die Verschlüsslung geknackt ist.
Ich spielte mit dem Gedanken mir einen "Iron-Key" zu besorgen, für diejenigen, die ihn und die verwendete Technik dahinter kennen. Doch ob ich nun 300$ für einen 16GB USB-Stick ausgebe, dann Hardwareverschlüsselung habe, oder einen "normalen" Stick kaufe und aufs kostenlose TrueCrypt setze bleibt jedem selbst überlassen. Ich habe mich auch für letzteres entschieden.
______________________________________________________
@Chief: Ja, DAS is typisch amerikanisch :-) Dort ist vieles einfach ein bissjen schlampiger :-)
 
Hersteller die 30 Cent Produktionsaufwand scheuen um ihre Sticks mit Schreibschutzschaltern auszustattten sollte man überhaupt nicht vertrauen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen