Hardwareverschlüsselter USB-Stick ist immun gegen Hacker-Angriffe

SafeStick von Optimal ist nicht von der Sicherheitslücke betroffen

(22.01.10) - Der hardwareverschlüsselte USB-Stick "SafeStick" ist gegen Hackerangriffe immun. Der in Deutschland von Optimal System-Beratung vertriebene SafeStick ist nicht von der Sicherheitslücke betroffen, die kürzlich für einen Skandal sorgte. Die Prüfung des Nutzerpasswortes auf der Hardware selbst und der individuelle Antwortcode gewährleisten, dass die Daten nur von Befugten entschlüsselt werden können.

"Diese Sicherheitslücke ist so eklatant, dass es unbegreiflich ist, dass die Zertifizierungsstelle sie nicht entdeckt hat!" erklärt Bert Rheinbach, Geschäftsführer von Optimal System-Beratung. "SafeStick kann weder auf diese noch auf eine andere Weise geknackt werden." Als deutscher Vertriebspartner von Blockmaster sei er natürlich erleichtert, aber nicht erstaunt darüber, denn sein Testlabor habe den Stick auf Herz und Nieren geprüft.

Der hardwareverschlüsselte USB-Stick des schwedischen Herstellers Blockmaster funktioniert folgendermaßen: Bei richtiger Passworteingabe generiert SafeStick ein Einmal-Passwort, das den Zugang zu den gespeicherten Daten erlaubt. Anders als bei den geknackten USB-Sticks wird dieses Passwort auf der Hardware selbst generiert, und zwar jedes Mal ein neues. SafeStick verschlüsselt alle gespeicherten Daten via Hardware mit dem hohen Verschlüsselungsverfahren 256 Bit AES (Advanced Encryption Standard) mit CBC.

Sicherheitslücke in amerikanischen USB-Sticks

Zwar haben auch die in Verruf geratenen USB-Sticks diesen anerkannt hohen Verschlüsselungs-standard. Aber deren Passwort wird nicht auf dem Stick, sondern in der Software am PC verifiziert. Bei einem erfolgreichen Anmeldevorgang sandte diese eine Zeichenfolge zur Bestätigung an den Stick, und zwar immer die gleiche Folge für alle Sticks dieses Typs. Die Tester schrieben also einfach ein Programm, das im Arbeitsspeicher des laufenden Passwort-Eingabeprogramms dafür sorgte, dass der passende String an den Stick gesandt wurde - unabhängig vom eingegebenen Passwort. So erhielten sie Zugang zu allen Daten auf dem Speicherstift.

So funktioniert SafeStick

Safestick prüft das Passwort und generiert den Schlüssel auf der Hardware selbst: Das vom Anwender eingegebene Passwort wird von der Software auf dem Computer mit einem Hashwert versehen. Auf diese Weise wird ein einmaliger Passwortstring erzeugt, der dem SafeStick Hardware Controller durch einen privaten Kanal über USB mitgeteilt wird. Dieser Passwort-String wird auf dem SafeStick erneut mit einem Hashwert "gestempelt". Das auf diese Weise doppelt gekennzeichnete Passwort wird genutzt, um mit einem Zufallszahlengenerator auf der Hardware (dem USB-Stick) den Schlüssel zu erzeugen, der alle vom Anwender gespeicherten Daten mit 256-Bit-AES verschlüsselt. Die Hardware ist komplett Epoxid-gehärtet. (Optimal: ma)