Rubrik: Produkte/sonstige

RIM absolviert ersten Teil der Sicherheitsuntersuchung durch das Fraunhofer SIT

Aufbau der BlackBerry-Enterprise-Lösung mit anspruchsvollem Sicherheitsdesign

(25.09.06) - Auf der IDC Security Conference 2006 in Frankfurt haben Fraunhofer SIT und Research In Motion (RIM) bekannt gegeben, dass das Fraunhofer-Institut die erste von drei Testphasen zur Sicherheit von E-Mail-Push-Diensten mit der "BlackBerry"-Enterprise-Lösung abgeschlossen hat. Fraunhofer stellt fest, dass die "BlackBerry-Enterprise"-Lösung Robustheit aufweist und nach aktuellen Richtlinien für anspruchsvolles Sicherheitsdesign aufgebaut ist. Fraunhofer SIT hat keine Hinweise auf verborgene Hintertüren, einen bei RIM liegenden Master-Key oder andere Möglich-keiten gefunden, wie die E-Mail-Kommunikation mittels der BlackBerry-Enterprise-Lösung von Dritten gelesen oder manipuliert werden könnte. Von Fraunhofer empfohlene Sicherheitsopti-mierungen der Lösung sind bereits umgesetzt oder werden in Kürze in gemeinsamer Zusammen-arbeit implementiert.

Anzeige

Research In Motion hatte Fraunhofer SIT engagiert, um die Sicherheit der BlackBerry-Komponenten sowie Schnittstellen, Softwareplattformen, Umgebungen und Protokolle in der BlackBerry-Enterprise-Lösung zu evaluieren. RIM hat Fraunhofer den Zugriff auf streng vertrauliche Informa-tionen gestattet, damit das Institut die Lösung in allen Details überprüfen konnte. Das Fraunhofer-Institut wird die ausführlichen Ergebnisse und Empfehlungen für den sicheren Gebrauch am Ende des dreistufigen Prüfprozesses veröffentlichen.

"RIM hat stets die Maßstäbe für Sicherheit in der mobilen Kommunikation gesetzt. Die BlackBerry-Enterprise- Lösung ist die erste Push-basierte E-Mail-Lösung, die sich dieser Art der Sicherheits-analyse unterzieht. Wir sind sehr zufrieden mit den Ergebnissen der ersten Untersuchungsphase, die sich nahtlos in die Zertifizierungen einreihen, die RIM bereits erlangt hat", erklärte Scott Totzke, Director Global Security Group bei Research In Motion.

Die laufende Sicherheitsanalyse des Fraunhofer SIT besteht aus drei Teilen. Im ersten Teil lag der Schwerpunkt der Untersuchung auf der BlackBerry-Infrastruktur, der Kommunikation zwischen dem BlackBerry Enterprise Server und den BlackBerry-Geräten sowie den generellen Sicherheits-mechanismen. Fraunhofer SIT hat eine typische BlackBerry-Installation aufgebaut und auf Basis einer gründlichen Bedrohungsanalyse eine Reihe von Blackbox-Tests durchgeführt.

Fraunhofer hat bereits mögliche Softwareverbesserungen vorgeschlagen. Zum Beispiel empfiehlt das Test-Team Anwendern mit hohen Sicherheitsansprüchen, AES-Verschlüsselung zu benutzen und künftige Software-Updates zu installieren. "Wenn wir die Verbesserungen geprüft haben, steht einer Testatvergabe durch das Fraunhofer SIT derzeit nichts im Wege“, erklärt Dr. Markus Schumacher vom Fraunhofer SIT.

Antworten auf Fragen von RIM-Kunden auf der Basis der Fraunhofer-Untersuchung durch Dean Pacey, Vice President Research In Motion

Hat RIM Zugriff auf die ausgetauschten (symmetrischen) Schlüssel?

Nein. RIM hat lediglich Zugriff auf die Schlüssel für die SRP Authentication und die SRP ID/UID, die der Authentisierung der BlackBerry Enterprise Server mit der BlackBerry-Infrastruktur bei RIM dienen. Der Hauptschlüssel zur Ver- und Entschlüsselung von Nachrichten wird automatisch zwischen dem BlackBerry Enterprise Server und den BlackBerry-Geräten generiert. Der bei BlackBerry verwendete Algorithmus zum Austausch der Schlüssel ist bei Kryptographie-Experten anerkannt und bietet ausreichende Sicherheit.

Kann RIM Ihre E-Mails lesen?

Nein, es ist nicht möglich, mit vertretbarem Aufwand die Blackberry-Verschlüsselung zu knacken, die für den Versand von Nachrichten verwendet wird. Dies gilt für die Internet-Übertragung ebenso wie für die Übertragung über lokale Funknetze oder Mobilfunknetze. Der Output der Verschlüsselung mit AES wurde überprüft und entspricht den entsprechenden Industriestandards. Im AES-Algorithmus selbst sind keine Sicherheitslücken bekannt.

Ist die Verschlüsselung der Daten zwischen dem BlackBerry-Gerät und dem BlackBerry Enterprise Server durchgängig?

Ja. Die BlackBerry E-Mail-Synchronisation implementiert durchgängige Ende-zu-Ende-Sicherheit zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server.

Setzt RIM AES-256 zur Datenverschlüsselung korrekt ein?

Ja. Nach unserer Untersuchung in Phase 1 wird AES bei der Verschlüsselung versendeter Daten korrekt verwendet.

Gibt es eine Hintertür oder einen Generalschlüssel, um E-Mail zu entschlüsseln?

Bezüglich AES-verschlüsselter Kommunikation konnten keine Hinweise auf Generalschlüssel oder Hintertüren gefunden werden. Der Output der Verschlüsselung mit AES wurde überprüft und entspricht den einschlägigen Industriestandards. Im AES-Algorithmus selbst sind keine Sicherheitslücken oder Hintertüren bekannt.

Beinhaltet das Senden von Informationen an die BlackBerry-Infrastruktur ein Sicherheitsrisiko?

Nein, die verschlüsselte Datenübertragung mit der Blackberry-Infrastruktur kann als sicher gelten. Wir konnten die Verschlüsselung während unseres Tests nicht brechen und die Inhalte der Kommunikation bleiben der BlackBerry-Infrastruktur verborgen. Die Sicherheit ist daher von der Komplexität des Verschlüsselungsalgorithmus abhängig. Ein Angreifer müsste daher die korrekten Schlüssel erraten. Nach derzeitigem Wissensstand und gegenwärtig verfügbarer Rechenleistung ist die standardkonforme BlackBerry-AES-Implementierung als sicher zu erachten.

(RIM: ra)

 
 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken