Informatie niet veilig op 'beveiligde' usb-sticks

cruzer enterprise

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Maandag 11 januari 2010
Auteur: Michiel van Blommestein

Paniek onder aanbieders van beveiligde usb-sticks. Foutieve implementatie van de AES-autenticatie maakt het omzeilen van de encryptie kinderspel, ondanks dat de opslagmedia door het NIST zijn gecertificeerd.

Recent heeft het Duitse beveiligingsbedrijf SySS beveiligde usb-sticks van Kingston (de DataTraveler BlackBox) en SanDisk (Cruzer Enterprise FIPS Edition) gekraakt. Het blijkt dat de sticks na een correct ingegeven wachtwoord altijd dezelfde string naar de encryptiemodule sturen. Het is volgens SySS vervolgens eenvoudig om die string te deduceren, en zo de nagenoeg onkraakbare 256-bits AES-sleutel in handen te krijgen, en daarmee dus de data op de stick. Ook een stick van Verbatim, de Corporate Secure FIPS Edition, is kwetsbaar maar deze is niet in Europa verkrijgbaar. Mogelijk zijn er nog sticks van andere leveranciers op dezelfde manier kwetsbaar.

Certificaten

Pikant detail, en kenners zullen het al van de namen van de SanDisk en Verbatim kunnen afleiden, is dat alle sticks FIPS-140 2 gecertificeerd zijn. FIPS (Federal Information Processing Standard) 140 2 is een certificaat dat door het National Institute of Standards and Technology wordt uitgegeven. Sticks die dit certificaat hebben worden geschikt geacht voor gebruik door overheden en organisaties in de VS (en daarmee praktisch gezien wereldwijd).

Maar de fout lijkt toch echt bij de leveranciers te liggen, en niet bij het NIST zoals je zou kunnen denken. Dat verweert zich namelijk met het argument dat zij er slechts voor zijn om de encryptiemodule zelf te testen, en niet de toegangspoort daartoe. In dit geval gaat het om een fout in de toegangssoftware.

Verwarring

Cryptograaf Bruce Schneier schrijft op zijn blog dan ook dat het om een "domme fout" gaat, maar dat gebruikers er stil bij moeten staan dat FIPS-140 2 slechts een stempel is dat bij bepaalde goede algoritmen worden toegepast. Over de daadwerkelijke implementatie zegt een dergelijk certificaat bar weinig, terwijl gebruikers dat vaak wel denken. "Marketingafdelingen maken gebruik van deze verwarring. Dat geldt niet alleen voor FIPS 140, maar voor alle standaarden. Klanten wordt voorgehouden dat naleving van de standaarden gelijk staat aan beveiliging", schrijft Schneier.

De drie genoemde leveranciers hebben al gereageerd op de kraakactie. Kingston heeft een terugroepactie op touw gezet, SanDisk en Verbatim houden het op een software-update. Verbatim heeft daarnaast nog aangegeven het genoemde model niet in Europa te verkopen.

Bron: Techworld

Relevante whitepapers

Alle whitepapers >>

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)