High End-Krypto-Keys ohne Netz und durch Wände geklaut

Es gibt neues Wasser auf die Mühlen der Kulturpessimisten: Sicherheitsforschern ist es gelungen, Verschlüsselungs-Keys von einem Rechner zu entwenden, der nicht ans Internet angebunden war und zu dem auch kein physikalischer Zugang bestanden hat.
Verschlüsselung, Code, Kryptographie
Christian Ditaputratama (CC BY-SA 2.0)

Key abschnorcheln durch die WandAbhörstation & Zielrechner
Nutzer, die beim Schutz ihrer Kommunikation ganz auf Nummer sicher gehen wollten, setzten bisher auf zwei Geräte. Geschrieben und verschlüsselt wurde die Nachricht auf einem Gerät, das über keine Netzwerkschnittstelle nach Außen verfügte. Mit einem Datenträger ging es dann rüber auf den Internet-PC, von dem die kodierte Mitteilung dann verschickt wurde. Doch auch dieser Weg ist letztlich komplett nicht sicher, wie sich nun zeigt.

Sicherheitsforscher der Universität Tel Aviv konnten nun demonstrieren, wie sie die Krypto-Keys binnen Sekunden von einem Gerät entführten, das in einem anderen Raum stand und komplett von jedem Netzwerk getrennt war. "Für den Angriff in der jetzigen Form wird Equipment benötigt, das rund 3.000 Dollar kostet und - wie man auf den Bildern sieht - etwas sperrig ist", erklärte Eran Tromer, der an dem Projekt beteiligt war. Allerdings zeige die Erfahrung in dem Bereich, dass das Setup wesentlich einfacher und kompakter gebaut werden kann, wenn die physikalischen Grundlagen erst einmal verstanden sind.

Mit der Ausrüstung starteten die Forscher einen so genannten Side-Channel-Angriff. Sie belauschten die elektromagnetische Streustrahlung, die der Zielrechner während des Verschlüsselungsvorgangs abgab. Aus dieser konnte dann der Schlüssel extrahiert werden.

Ziel war eines der besten Krypto-Verfahren

Und hier ging es nicht gerade um ein simples Verschlüsselungsverfahren. Auf dem Zielrechner lief die PGP-Implementation GnuPG, bei der das seit gut zwei Jahren in der Software verfügbare Verfahren mit elliptischen Kurven zum Einsatz kam. Dies gilt eigentlich als eine der aktuell besten Methoden, die im Bereich der breit verfügbaren Verschlüsselungs-Tools zur Verfügung stehen.

Weitergehende Details zu ihrer Methode wollen die Sicherheitsforscher Anfang März auf der RSA Conference erläutern. Die Entwickler von GnuPG wurden bereits vor der Veröffentlichung der ersten Ergebnisse der Arbeit kontaktiert. Gemeinsam ist es gelungen, in die neuesten Versionen der Software bereits Maßnahmen einzubauen, die besser vor solchen Angriffen schützen sollen.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!