USB-Hardwareverschlüsselung geknackt

Forscher der Sicherheitsfirma Syss haben einen einfachen Weg gefunden, den Passwortschutz von Hardware-verschlüsselten USB-Sticks zu umgehen. Wie Heise Security berichtet, arbeiten die Sticks von Kingston, Sandisk und Verbatim mit einer 256-Bit-AES-Verschlüsselung, die als unknackbar gilt. Die Experten von Syss haben allerdings herausgefunden, dass das Windows-Programm zur Passworteingabe bei einem erfolgreichen Anmeldevorgang nach den Krypto-Routinen immer die gleiche Zeichenfolge an den Stick sendete - unabhängig vom Passwort. Das galt für alle Sticks dieser Bauart. Mit einem entsprechenden Programm konnten sich die Experten auf diesem Weg Zugang zu den Daten verschaffen, die auf den Sticks gespeichert waren.

Heise zufolge hat Kingston die betroffenen Produkte nach der Benachrichtigung durch Syss zurückgerufen. Sandisk und Verbatim veröffentlichten Sicherheitshinweise und ein Software-Update. Verbatim wies darauf hin, dass die Sticks in Europa noch nicht auf dem Markt seien und man mit dem Verkaufsstart warten wolle, bis das Problem behoben sei.

Der Vorgang wirft jedoch die Frage auf, warum die USB-Sticks trotz der schweren Sicherheitslücke die höchste Zertifizierung für Krypto-Geräte erhielten. Alle drei anfälligen Sticks hatten vom amerikanischen National Institute of Standards and Technology die FIPS-Zertifizierung 140-2 erhalten.