USB-Sticks von Optimal fehlt die Sicherheitslücke

Nach Angaben von Optimal System-Beratung kann bei ihren USB-Sticks mit Verschlüsselung die vor kurzem bekannte Sicherheitslücke nicht auftreten. Bei den Systemen erfolgt die Passwortüberprüfung direkt auf der Hardware.

Unter anderem die drei Hersteller Kingston, Sandisk und Verbatim haben die Sicherheitslücken in ihren USB-Sticks gehabt (Network Computing berichtete). Dabei konnten die Angreifer die Abfrage des Passworts für die Verschlüsselung für die Verschlüsselung umgehen. Mittlerweile gibt es übrigens Patches. Gar nicht betroffen sind die USB-Sticks »SafeStick« von Optimal System-Beratung nach deren Angaben. Dies liegt daran, dass die Überprüfung des Passworts und Freigabe auf dem USB-Stick selbst erfolgt. Bei den erfolgreichen Angriffen wurde dies von der Software auf dem PC übernommen. Das Optimal vertreibt die Safestick-Lösung von Blockmaster in Deutschland.

Gegen die vor kurzem bekannten Sicherheitslücken bei USB-Sticks sollen die »SafeStick«-Speicher von Optimal System-Beratung immun sein. (Quelle: Optimal)

Erhält der Safestick das richtige Passwort, dann erzeugt er einen Einmal-Code, der den Zugang zu den verschlüsselten Daten freigibt. Die Sticks mit der Sicherheitslücke haben immer den gleichen Code zur Freigabe an den USB-Speicher geschickt. Diesen mussten die Angreifer nur einmal abfangen. Sie haben dann ein Programm geschrieben, dass vom Speicher des PCs aus einfach nur diese Code-Folge an den Stick verschickt.

Die Safestick-Software auf dem Rechner versieht das Passwort des Nutzers mit einem Hash-Wert. Diesen erhält der Controller der Safestick-Hardware über einen geschützten USB-Kanal. Anschließend wird das Passwort erneut mit einem Hash als Datumsstempel kombiniert. Diesen Wert nutzt die Hardware, um über einen Zufallsgenerator den Schlüssel für die Daten des Anwenders zu erzeugen. Zum Einsatz für die Verschlüsselung kommt dabei AES mit 256 Bit.