27. Juni 2012

IT-Spezialist RSA versichert: «Token» ist sicher

New York (dpa) - Computerexperten wollen in Windeseile einen gängigen Sicherheitsschlüssel für Firmennetzwerke und Daten geknackt haben. Nun meldet sich mit der Firma RSA einer der größten Hersteller derartiger Verschlüsselungsgeräte - sogenannter «Token» - zu Wort und widerspricht.

Die aufgezeigte Attacke sei in der Praxis nutzlos und die Systeme seien sicher. RSA-Technologiechef Sam Curry zerpflückt in einem am Dienstag veröffentlichten Blogeintrag die Ergebnisse der Computerexperten: Es handle sich um eine akademische Herangehensweise. Praktisch anwendbar sei diese jedoch nicht, da der Angreifer Zugang zu dem Verschlüsselungsgerät selbst bräuchte und zur PIN-Nummer, die ein Nutzer zusätzlich besitzt. Wenn er aber beides besäße, dann müsste er ohnehin nichts mehr knacken. Betroffen sei auch allein die Smartcard-Funktion des Tokens, nicht aber die Funktion, nur einmal gültige Passwörter zu erzeugen.

Token sind millionenfach verbreitet. Die handlichen Geräte in der Größe eines Schlüsselanhängers geben zufällig erzeugte Zahlenfolgen aus, die nur für jeweils kurze Zeit als Passwort dienen. Mithilfe dieses Passworts können sich Mitarbeiter von außen in firmeneigene Computernetzwerke einwählen oder vertrauliche Daten verschlüsseln.

Eine Gruppe von Computerexperten aus europäischen Universitäten hatte in einem Diskussionspapier erklärt, die Sicherheitsbarrieren verschiedener Hersteller von Verschlüsselungstechniken in Minuten überwunden zu haben. Für die Branche wäre das ein schwerer Schlag. «Die Attacke ist unbrauchbar», versicherte Curry. Die Forscher hätten mit ihrer Arbeit nicht wirklich Neuland betreten.

Blogeintrag von Sam Curry

Papier des «Team Prosecco» als pdf

Kryptographie-Konferenz im August

Weitere Infos bei Ars Technica

Weitere Infos bei der NYT

Weitere Artikel aus diesem Ressort
Anzeige