Archiv verlassen und diese Seite im Standarddesign anzeigen : eToken sicher?
cooli04
2011-12-31, 14:47:59
Wie sicher ist eigentlich sowas? Habe dazu im Internet nichts nützliches finden können.
http://www3.de.safenet-inc.com/etoken/devices/pro-usb.aspx
Nach 15 fehlversuchen soll sich der Chip selbst reseten. Ist es trotzdem möglich mit professionellen Equipment und entsprechendem Aufwand an die Daten zu kommen?
bluey
2012-01-01, 19:45:40
Gute Frage. Afaik gibt der nur deinen Pubkey aus und generiert die Keys selber auf dem Stick. Über die Sicherheitsmaßnahmen intern kann ich aber leider auch nichts sagen.
cooli04
2012-01-04, 17:27:09
hat keiner einen link für genauere Informationen?
PatkIllA
2012-01-04, 17:55:19
Die Dinger basieren alle zu guten Teilen auf security by obscurity.
Wenn dann kommt es auf die genaue Typen an und genaue Informationen rückt praktisch keiner der Hersteller raus.
Es gab jedenfalls schon öfters Fälle, wo man die Sticks mit geringsten Aufwand knacken kann. Bis hinzu häteren Fällen wo die Chips scheibchenweise abgetragen wurden, um an den Aufbau zu kommen.
Agent_no1
2012-01-05, 13:34:38
Warum nicht gleich auf eine Smartcard einer qualifizierten deutschen CA setzen? z.B. D-Trust, S-Trust, Telesec
3 Fehlversuche und das wars (sofern keine PIN 2 gesetzt ist).
Sicherheitstechnisch kommt man derzeit besser nicht weg, auch wenn du noch das ganze Hardwaregebamsel (Kartenleser) benötigst.
Kurgan
2012-01-08, 17:44:42
alles was herstellbar ist, lässt sich auch (früher oder später) knacken/kopieren.
die frage ist eher, ob der aufwand lohnt ....
Agent_no1
2012-01-08, 22:54:35
früher oder später... Eine Gegenmaßnahme hierzu sind ja unter anderem die jährlichen Algorithmenprüfungen und Sicherheitsprognosen seitens des BSI, zumindest wenn man sich an die Anforderungen des SigG halten möchte. (im Signaturbereich in dem Fall)
Gerade bei den Hashalgorithmen wird neben MD5 (auwei) bislang häufig auch noch SHA1 verwendet, was inzwischen als gebrochen gilt und technisch mit aktuellen Mitteln bei entsprechendem finanziellen Interesse/Aufwand in absehbarer Zeit knackbar ist.
Aus diesem Grund wird seit über 2 Jahren der Algorithmus (zumindest nach dem SigG) im qualifizierten Signaturbereich nicht mehr als sicher eingestuft und dementsprechend SHA-256, sowie z.B. auch eine Schlüsseltiefe von 2048Bit als zwingende Mindestanforderung gesetzt.
In der Schweiz sieht es hier wiederum noch anders aus.
Wenn man derzeit wirklich sicher verschlüsseln möchte, kommt man zumindest um eine Verschlüsselung auf Zertifikatsbasis integriert auf einer SmartCard einer großen, geprüften und vertrauenswürdigen CA nicht herum.
Natürlich ist die gesamte Sicherheitskette immer nur so stark wie ihr schwächstes Glied. Dementsprechend empfiehlt es sich besonders im Zertifikatsumfeld auf Smartcards zu setzen, da hier der große Teil der Sicherheitsverantwortung auf das abgeschottete System der Smartcard selbst übertragen wird. Ein Kartenleser mind. der Klasse 2 bringt hier natürlich noch zusätzlichen Sicherheitsgewinn (sprich abgeschottete PIN-Eingabe).
Acid-Beatz
2012-02-05, 22:55:42
Kann man einen E-Token nicht auch so konfigiriert, dass er nur ein Teil eines großen Schlüssels ist?
Bzw ist nicht das der Hauptsinn eines Tokens, er soll ja nicht nur einfacher Passwortersatz sein.
Ich kenn ihn so, dass man eben Token und Passwort braucht, um die Festplatte zu entschlüsseln, dann aber noch ein seperater Windows Log-In mit verschiedenem Passwort und die Authentifizierung an der Domäne mit eingeschränkten Rechten.
Greez
Agent_no1
2012-02-06, 20:46:10
Man kann natürlich jedes Sicherheitsverfahren ineinander verschachteln, also im Prinzip den Schlüssel des eTokens zu Nutzen, um Zugriff auf eine zweite Authentifizierungsroutine freizugeben. Das hängt natürlich immer vom Softwareentwickler selber ab, wieviel wirklich sinnvoll ist.
Unter Linux kannst du z.B. simpelst einfach durch Kombination verschiedenster PAM jeden beliebigen Login/Authvorgang sicherheitstechnisch erweitern. Welches PAM erzwungen wird und welches optional ist, kann man da ja frei konfigurieren. Den Logon am System kann man dort mit Bordmitteln derart stark absichern, das z.B. zuerst eine Signaturkarte mit einem speziellen Zertifikat erforderlich wird (welches anhand einer Sperrliste als gültig ausgewiesen sein musS), nach dessen PIN-Eingabe ein eToken gesteckt und freigegeben sein muss und im Anschluss noch die Gnome-Logondaten abgefragt werden. :)
Letztendlich ist die Bereitschaft sich mehrere Passwörter/PINs/Passcodes einzuprägen und aktiv zu nutzen bei den Menschen aber eher nicht so verbreitet, daher wird natürlich mit der Variation von Sicherheitsverfahren gerne gegeizt und nur auf ein etabliertes und bislang ungebrochenes System gesetzt (wenn überhaupt ;)) und das ganze dann häufig gerade in Unternehmensnetzen mit einer Single-SignOn-Lösung kombiniert um Zugang zu vielen unterschiedlichen Informationssystemen zu erleichtern.
Der eToken z.B. von Aladin wird ja als sicherer Zugangsdatenspeicher angepriesen, verfügt also über eigene Speicherplätze für Zugangsinformationen wie z.B. dein Windows-Logon-Kennwort oder Bankinginformationen. Diese Informationen speichert er selbst verschlüsselt auf seinem internen Speicher, den er vor dem externen Auslesen durch andere Anwendungen versucht zu schützen. Die Freigabe dieser Informationen erfolgt durch Eingabe des Masterkennwortes. Übersetzt also ein eigenes selbstständiges System abgekapselt vom Haupt-PC, wie auch z.B. bei einer Signaturkarte. Ob er über ein eigenes OS verfügt, kann ich dir nicht sagen; wäre aber in sicherheitskritischen Bereichen wirklich angebracht.
Naja wie dem auch sei, der eToken ist ja nicht vom BSI als qualifizierter Zugangsinformationsspeicher freigegeben, daher hat er natürlich auch keine besonderen gesetzlichen Sicherheitsvorgaben zu erfüllen.
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.