Produkte
- SafeStick Vorteile
- SafeStick FIPS
- SafeStick SuperSonic
- SafeConsole
- Screenshots
- Presse/Testberichte
- Fragen & Antworten
- Angebot anfordern
- Firmware - Download
- Firmware - Archiv
USB-Datentresor
Sichere USB-Sticks heißen SafeStick!
Hardwareverschlüsselt und Passwortgeschützt
Keine Software oder Admin-Berechtigung notwendig
Plug & Work! Von 1 - 64 GB
Sie haben noch Fragen?
Wir stehen Ihnen gerne zur Verfügung
Kostenlose Hotline D/CH
+49 (0)8171 405-300
Kostenlose Hotline A
+43 (0)1 272800-100
Vertrieb D
+49 (0)8171 405-200
Vertrieb A/CH
+43 (0)1 272727-100
Kritische Sicherheitslücke entdeckt
...SafeStick nicht betroffen!
Von der unabhängigen, auf Penetrationstest spezialisierten Firma SySS wurde bei hardwareverschlüsselten USB-Sticks der Hersteller SanDisk, Kingston und Verbatim eine kritische Sicherheitslücke aufgedeckt. Dabei lassen sich "unabhängig vom gewählten Passwort sämtliche verschlüsselten Daten binnen Sekunden rekonstruieren", so SySS.
Blockmaster und ProSoft möchten allen Kunden versichern, dass alle Versionen von SafeStick dieses Sicherheitsproblem nicht haben und die Daten auf den SafeSticks nach wie vor vollkommen sicher sind!
Bei der Entwicklung von SafeStick wurde von Anfang an auf höchste Sicherheit, Anwenderfreundlichkeit und Funktionsumfang größter Wert gelegt. SafeStick ist sicher!
Wie wirkt sich die Sicherheitslücke aus?
Am 4 Januar 2010 wurde von SySS veröffentlicht, dass die Passwortsicherheit einiger hardwareverschlüsselter USB-Sticks geknackt wurde. Was die Sache noch verschlimmert ist, dass einige der betroffenen USB-Sticks die FIPS 140-2 Zertifizierung haben, die in einigen Ländern Voraussetzung für den Einsatz von Sicherheitslösungen bei Behörden und Ministerien ist.
Weitere Informationen hierzu sowie den kompletten Bericht in Deutsch finden Sie hier
Betroffen sind u.a. folgende USB-Sticks:
- SanDisk Cruzer Enterprise FIPS Edition
- SanDisk Cruzer Enterprise
- Kingston DataTraveler BlackBox
- Kingston DataTraveler Secure Privacy Edition
- Kingston DataTraveler Elite Privacy Edition
- Verbatim Corporate Secure FIPS Edition
- Verbatim Corporate Edition
Erwähnenswert ist in diesem Zusammenhang, dass SanDisk seine Software als OEM-Version an Kingston, Verbatim, MXI, PICO und andere weitergibt.
Auf alle betroffenen USB-Sticks kann ohne Wissen des vergebenen Passworts mit nur wenigen Mausklicks zugegriffen werden. Der Grund liegt darin, dass diese USB-Sticks die Passwörter nicht durch die Hardware auf dem Stick überprüfen (wie das bei SafeStick der Fall ist) sondern in der Software auf dem PC der Benutzers. Dieser Umstand ermöglicht eine Analyse des Authentifizierungsverfahrens über Debugger.
Dabei stellte sich heraus, dass das das Programm bei einem erfolgreichen Anmeldevorgang nach diversen Krypto-Operationen unabhängig vom Passwort immer die gleiche Zeichenfolge an den USB-Stick zur Verifizierung sendet – und zwar für alle Sticks dieses Typs. Sie können nun mit einem Tool dafür sorgen, dass unabhängig vom Passwort immer der gleiche String an den USB-Stick gesendet wird und schon haben Sie Zugriff auf die unverschlüsselten Daten. Zusätzlich wird das an sich sichere kryptische Verfahren unsicher angewendet.
Was macht SafeStick so sicher?
- Das Passwort wird ausschließlich durch die Hardware auf dem SafeStick verifiziert
- Es gibt keine Backdoors oder Unlock Codes für SafeStick
- Der Schutz vor Brute-Force-Attacken wird bei SafeStick ebenfalls ausschließlich über die on-board Hardware kontrolliert
- Das eingegebene Passwort ist am PC nur als Hash Wert (MD5) verfügbar
- Die eindeutige Passwort Zeichenfolge wird direkt zum SafeStick BM9930 Hardware Controller via USB über einen sicheren exklusiven Kanal gesendet
- Die verschlüsselte Passwort-Zeichenkette wird nochmals unter Verwendung der Firmware auf dem SafeStick verschlüsselt (SHA256)
- Das doppelt "verschlüsselte" Passwort wird für den Zugriff auf den hardwareverschlüsselten kryptografischen Key erstellt. Dies erfolgt mit dem "Random Number Generator" (ANSI X9.31 RNG) direkt auf dem SafeStick
- Der einmalige Verschlüsselungs Key ist Basis der AES-256bit-CBC Datenverschlüsselung nur für diesen SafeStick
- Die on-board Hardware auf dem SafeStick ist komplett mit Epoxidharz vergossen
Was sagt eine FIPS 140-2 Zertifizierung aus?
Wir wurden schon häufig gefragt, warum SafeStick noch keine FIPS-Zertifizierung hat (Stand 11.01.10).
SafeStick übertrifft die Minimalanforderungen die eine FIPS Zertifizierung verlangt. In einigen Ländern stellt die FIPS-Zertifizierung allerdings die Basisanforderung für eine Sicherheitslösung dar. Ist ein Produkt FIPS-zertifiziert, dann darf es z.B. bei Behörden und Ministerien in den USA eingesetzt werden. Eine FIPS-Zertifizierung sagt aus, dass ein Produkt die grundlegenden Anforderungen (nach FIPS-Standard) einer Sicherheitslösung erfüllt und nicht, dass es zu 100 % sicher ist.
Um zu dokumentieren, dass SafeStick diese Anforderungen erfüllt, wurde SafeStick zur FIPS-Zertifizierung eingereicht.
Die Art wie die Passwortverifizierung bei einigen hardwareverschlüsselten USB-Sticks umgesetzt ist zeigt deutlich, dass trotz FIPS-Prüfung hier "Backdoors" verwendet werden, um einen Zugriff auf die Daten der Sticks zu ermöglichen.
Viele Hersteller sind der Meinung, dass Sicherheit mit Verschlüsselung gleichzusetzen ist. Wie obige Sicherheitslücke beweisst, ist Verschlüsselung jedoch nur ein kleiner Teil wenn es um Sicherheit geht. In der Entwicklung muss von Anfang an sichergestellt werden, dass sowohl die Sicherheit der Passwörter und deren Verifizierung als auch die Sicherheit des Verschlüsselungs-Keys sowie der physikalische Schutz garantiert werden kann.