Am 4. Januar 2010 meldete SySS (www.syss.de), ein unabhängiges Unternehmen das sich auf Sicherheitstests spezialisiert hat, dass bei einigen hardwareverschlüsselten und teilweise FIPS-zertifizierten USB-Sticks eine kritische Sicherheitslücke gefunden wurde. Der SafeStick D/A/CH Distributor ProSoft macht in diesem Zusammenhang darauf aufmerksam, dass SafeStick davon nicht betroffen ist und die Daten auf dem SafeStick nach wie vor sicher sind!
Bei den betroffenen Sticks u.a. der Hersteller Verbatim und SanDisk wird das Passwort nicht auf dem USB-Stick verifiziert sondern in der Software am Benutzer PC. Dieser Umstand ermöglicht eine Analyse des Authentifizierungsverfahrens. Dabei stellte SySS fest, dass bei einem erfolgreichen Anmeldevorgang unabhängig vom Passwort immer die gleiche Zeichenfolge an den USB-Stick zur Verifizierung gesendet wird. Mit dieser Zeichenfolge ist es möglich den betroffenen USB-Sticks vorzuspielen, dass ein korrektes Passwort eingegeben wurde und damit ist der Zugriff auf die dort gespeicherten Daten möglich. Erschwerend kommt hinzu, dass die Zeichenfolge für alle Sticks eines Typs immer gleich ist.
Im Gegensatz dazu authentifiziert SafeStick das Benutzer-Passwort ausschließlich auf der USB-Hardware. Das doppelt verschlüsselte Passwort (MD5 und SHA256) bildet zusammen mit einem zufälligen Wert (RNG) die Basis für den einmaligen kryptografischen Key zur AES-256-Bit CBC Datenverschlüsselung. Bei SafeStick gibt es keine Backdoor oder Unlock-Codes. Der Schutz vor Brute-Force-Attacken wird bei SafeStick ebenfalls ausschließlich über die on-board Hardware kontrolliert. Mit SafeConsole, dem zentralen Device-Management für SafeStick, kann ein verlorener SafeStick u.a. beispielsweise zusätzlich remote gesperrt oder komplett gelöscht werden.
SafeStick wird in D/A/CH zu Recht von vielen Unternehmen und Behörden zur sicheren Speicherung mobiler Daten eingesetzt. Die optionale SafeConsole erlaubt eine zentrale Verwaltung und Konfiguration aller SafeSticks eines Unternehmens. Mit der neuen SafeConsole 4 ist es nun auch möglich wichtige Dokumente oder mobile Applikationen wie Mail-Clients oder Anti-Viren-Lösungen auch über eine Internetverbindung zu verteilen.
Mehr Informationen zu den betroffenen USB-Sticks, den zusätzlichen SafeStick-Sicherheitsfunktionen sowie einen Link zum kompletten SySS Bericht in Deutsch finden Sie unter www.prosoft.de/...
Bei den betroffenen Sticks u.a. der Hersteller Verbatim und SanDisk wird das Passwort nicht auf dem USB-Stick verifiziert sondern in der Software am Benutzer PC. Dieser Umstand ermöglicht eine Analyse des Authentifizierungsverfahrens. Dabei stellte SySS fest, dass bei einem erfolgreichen Anmeldevorgang unabhängig vom Passwort immer die gleiche Zeichenfolge an den USB-Stick zur Verifizierung gesendet wird. Mit dieser Zeichenfolge ist es möglich den betroffenen USB-Sticks vorzuspielen, dass ein korrektes Passwort eingegeben wurde und damit ist der Zugriff auf die dort gespeicherten Daten möglich. Erschwerend kommt hinzu, dass die Zeichenfolge für alle Sticks eines Typs immer gleich ist.
Im Gegensatz dazu authentifiziert SafeStick das Benutzer-Passwort ausschließlich auf der USB-Hardware. Das doppelt verschlüsselte Passwort (MD5 und SHA256) bildet zusammen mit einem zufälligen Wert (RNG) die Basis für den einmaligen kryptografischen Key zur AES-256-Bit CBC Datenverschlüsselung. Bei SafeStick gibt es keine Backdoor oder Unlock-Codes. Der Schutz vor Brute-Force-Attacken wird bei SafeStick ebenfalls ausschließlich über die on-board Hardware kontrolliert. Mit SafeConsole, dem zentralen Device-Management für SafeStick, kann ein verlorener SafeStick u.a. beispielsweise zusätzlich remote gesperrt oder komplett gelöscht werden.
SafeStick wird in D/A/CH zu Recht von vielen Unternehmen und Behörden zur sicheren Speicherung mobiler Daten eingesetzt. Die optionale SafeConsole erlaubt eine zentrale Verwaltung und Konfiguration aller SafeSticks eines Unternehmens. Mit der neuen SafeConsole 4 ist es nun auch möglich wichtige Dokumente oder mobile Applikationen wie Mail-Clients oder Anti-Viren-Lösungen auch über eine Internetverbindung zu verteilen.
Mehr Informationen zu den betroffenen USB-Sticks, den zusätzlichen SafeStick-Sicherheitsfunktionen sowie einen Link zum kompletten SySS Bericht in Deutsch finden Sie unter www.prosoft.de/...
