Wo AES drauf steht ist nicht immer auch AES drinnen
by Markus Pachali on Feb.20, 2008, under IT, Kryptografie, Security
Einem Bericht der englischen Ausgabe von heise-security zu Folge bietet easy-nova zur Zeit eine Festplatte mit integrierter Verschlüsselung an. Zum entschlüsseln kommt ein RFID-Chip zum Einsatz, als Verschlüsselungsalgorithmus laut Aufdruck der Verpackung AES mit 128Bit. Analysen von heise haben jedoch gezeigt, dass dies mit nichten der Fall ist. Zur Verschlüsselung falls man hier überhaupt davon sprechen kann kommt nur eine simple XOR-Verknüpfung aus Daten und Key in Form einer Blockchiffre zum Einsatz welche sich sehr einfach mit einer “known plain-text attack” aushebeln und umgehen lässt. Dazu sollen laut Angaben von heise keine speziellen Tools erforderlich sein sondern Bordmittel wie sie in jeder Linux-Distribution vorhanden sind ausreichen. Der Hersteller bestätigte den Bericht mittlerweile und gab an bereits an einer Lösung zu arbeiten, auch wolle man den Aufruck auf den Verpackungen ändern.
AES ist mit 128Bit sicherlich im Vergleich zu den 256 möglichen Bit nicht der sicherste Algorithmus, aber dennoch ist er relativ sicher und man kann ihn – ein gutes Passwort vorausgesetzt – nicht in absehbarer Zeit knacken. Auf diese Sicherheit haben sich viele Kunden verlassen. Wenn man Daten verschlüsselt um sie vor unbefugtem Zugriff durch Dritte zu schützen, dann sind dies bei den meisten Leuten – und erst recht bei Firmen – sehr sensible Daten mit denen großer Schaden angerichtet werden kann wenn sie denn in die falschen Hände geraten. AES bietet hier einen sicheren Schutz, nicht jedoch die in Wirklichkeit zum Einsatz kommende XOR-Verknüpfung aus Daten und Key. Wie in dem Artikel aufgezeigt lässt sich diese “Verschlüsselung” sehr einfach knacken und die Daten können so entschlüsselt werden.
Viele Kunden die diese Festplatte gekauft haben und darauf sensible Daten gespeichert haben wiegen sich in Sicherheit und glauben außer ihnen könne keiner an die Daten herankommen. Wie falsch sie damit liegen ahnen sie nicht. Das böse Erwachen kommt dann wenn die Festplatte gestohlen wird und die Daten unerwartet irgendwo anders auftauchen. Dann ist jedoch alles zu spät, das Kind liegt im Brunnen und man bekommt es wohl auch so einfach nicht mehr heraus.
1 Trackback or Pingback for this entry
June 5th, 2008 on 08:01
[...] passwortndten-, Freundes- und Bekanntenkreis schnappe ich des öfteren Passwörter für teils recht sensible Dienste (Zugang, E-mail, Ebay, Banking, FirmenPC/Server, Router usw.) auf. Allein die Tatsache, dass ich diese mitbekomme, spricht schon Bände. Von den Haustieren, Kindernamen, Geburtsdaten über die eigene Emailadresse ist eigentlich alles dabei. Selten länger als 7 Zeichen, meist auch nur kleingeschrieben, Sonderzeichen Fehlanzeige – starke PWs sind nie dabei. Meist reichen ein paar gute Worte und das Konfrontieren mit möglichen Auswirkungen, um das auf 12-stellige Konstrukte zu erweitern. Schwierig wird’s nur, wenn man ihnen empfiehlt bei allen Diensten andere PWs zu verwenden. Mit ein bischen System lässt sich das auch leicht merken. Nur bekomme ich dann Wochen oder Monate später Anrufe mit Fragen [...]