Komplexe Kennwörter durch eine 2-Faktor-Authentisierung ersetzen

it-sa 2009: Festplattenvollverschlüsselung mit dem Sicherheits-Token "certgate PreBoot Authenticator"

(16.10.09) - Auf der IT-Sicherheitsmesse it-sa in Nürnberg stellte die certgate GmbH ihre neueste Entwicklung zur Optimierung gängiger Festplattenverschlüsselungs-Programme vor. Der "certgate PreBoot Authenticator" ist ein Sicherheits-Token, der komplexe Kennwörter durch eine hochsichere 2-Faktor-Authentisierung mittels Smart Card und Smart Card-PIN ersetzt.

Wer die Daten auf der Festplatte seines PC oder Notebook vor dem neugierigen oder bösartigen Zugriff Fremder schützen will, verlässt sich heutzutage in der Regel auf eines der zahlreich verfügbaren Festplattenverschlüsselungsprogramme. Die "On-the-fly"-Verschlüsselung mit Verschlüsselungstiefen von bis zu 256 Bit verspricht maximale Sicherheit. Doch wie jede kryptographische Anwendung ist auch die Festplattenvollverschlüsselung nur so sicher wie ihr schwächster Punkt: das durch den Anwender zu vergebende Kennwort. Sechs der insgesamt acht Angriffsszenarien, die Wikipedia unter dem Stichwort "Festplattenverschlüsselung" auflistet, drehen sich um das "Knacken" des Kennworts.

Um gegen Brute-Force-Angriffe ebenso gewappnet zu sein wie gegen so genanntes "Social Engineering" braucht man ein langes, möglichst zufälliges alphanumerisches Kennwort inklusive Sonderzeichen und Groß-/Kleinschreibung. "TrueCrypt", eines der beliebtesten Verschlüsselungs-programme, empfiehlt dafür mindestens 20 Zeichen. Doch wer kann sich das schon merken? Und wer soll es dann auch noch fehlerfrei eingeben?

Genau an diesem Punkt setzt der certgate PreBootAuthenticator an: Der Sicherheits-Token auf der Basis der "certgate SmartCard microSD" speichert das beliebig lange und komplexe Kennwort sicher auf seinem Crypto-Chip. Dort ist es weder auslesbar noch manipulierbar. In der Preboot-Phase authentisiert sich der Nutzer mit seiner Smart Card-PIN gegenüber dem Token und dieser übermittelt das Kennwort automatisch an die Verschlüsselungs-Software. Damit wird gleichzeitig ein weiteres Sicherheitsrisiko - die Mit-Protokollierung der Tastatureingaben durch Keylogger - ausgeschlossen.

Der certgate PreBoot Authenticator verschlüsselt das Kennwort mit RSA 2048 Bit asymmetrisch und ist dadurch praktisch nicht auslesbar. Der Zugriff wird durch eine Smart Card-PIN ausreichend gesichert, da die Zahl der Fehleingaben limitiert ist.

Für den Anwender wird das Handling der Festplattenvollverschlüsselung erheblich erleichtert. Das Merken und Eingeben langer Kennwörter entfällt. Stattdessen sorgt die 2-Faktor-Authentisierung für eine bessere Absicherung der "Schwachstelle" der Verschlüsselungsanwendungen und eliminiert die wichtigsten Angriffspunkte für Hacker.

Der Token (15 x 2,5 x 17,5 mm) verschwindet fast vollständig in der USB-Schnittstelle. Er ist unter allen Betriebssystemen einsetzbar und arbeitet zuverlässig mit allen relevanten kennwortbasierten Festplattenverschlüsselungsprogrammen zusammen. (certgate: ma)