Independent Competence Platform
for Integrated Security in Switzerland.

28.06.2012
by: RSA

RSA dementiert: "Token" ist sicher

Computerexperten wollen in Windeseile einen gängigen Sicherheitsschlüssel für Firmennetzwerke und Daten geknackt haben. Nun meldet sich mit der Firma RSA einer der grössten Hersteller derartiger Verschlüsselungsgeräte - sogenannter „Token" - zu Wort und widerspricht: Die aufgezeigte Attacke sei in der Praxis nutzlos und die Systeme seien sicher.

RSA-Technologiechef Sam Curry zerpflückt in einem Blogeintrag die Ergebnisse der Computerexperten: Es handle sich um eine akademische Herangehensweise. Praktisch anwendbar sei diese jedoch nicht, da der Angreifer Zugang zu dem Verschlüsselungsgerät selbst bräuchte und zur PIN-Nummer, die ein Nutzer zusätzlich besitzt. Wenn er aber beides besässe, dann müsste er ohnehin nichts mehr knacken. Betroffen sei auch allein die Smartcard-Funktion des Tokens, nicht aber die Funktion, nur einmal gültige Passwörter zu erzeugen.

Token sind millionenfach verbreitet. Die handlichen Geräte in der Grösse eines Schlüsselanhängers geben zufällig erzeugte Zahlenfolgen aus, die nur für jeweils kurze Zeit als Passwort dienen. Mithilfe dieses Passworts können sich Mitarbeiter von außen in firmeneigene Computernetzwerke einwählen oder vertrauliche Daten verschlüsseln. Eine Gruppe von Computerexperten aus europäischen Universitäten hatte in einem Diskussionspapier erklärt, die Sicherheitsbarrieren verschiedener Hersteller von Verschlüsselungstechniken in Minuten überwunden zu haben. Für die Branche wäre das ein schwerer Schlag. „Die Attacke ist unbrauchbar", versicherte Curry. Die Forscher hätten mit ihrer Arbeit nicht wirklich Neuland betreten.

Quelle: www.ictk.ch


Security-Finder Schweiz: Newsletter