RSA erklärt seine Tokens für sicher

Nachdem ein deutlich verbesserter Angriff auf Krypto-Hardware Schlagzeilen machte, erklärt Sam Curry von RSA das explizit betroffene Token SecurID 800 für sicher. Das Token wurde demnach nicht geknackt, der Angriff sei nicht brauchbar. Insbesondere könnten damit keine geheimen RSA-Schlüssel aus dem Token extrahiert werden.

Der Angriff betrifft ohnehin nicht die Tokens für die Erstellung von One-Time-Passwörtern, sondern die Kombi-Geräte mit USB-Anschluss, die zusätzlich wie eine Smartcard als Schlüssel- und Zertifikatsspeicher fungieren und damit Daten ver- und entschlüsseln können. Wie RSA betont, ist der beschriebene Angriff nicht neu; er setzt vielmehr auf ein altbekanntes Problem auf und beschleunigt die bisher bekannten Attacken um ein Vielfaches. Nicht thematisiert wird die Tatsache, dass das Problem nur auftritt, weil RSA – genau wie viele andere Hersteller von Krypto-Hardware – mehr als zehn Jahre nach Bekanntwerden dieses Angriffs den anfälligen Standard PKCS#1 v1.5 immer noch als Default einsetzen, obwohl das bessere OAEP-Padding schon lange im Nachfolger PKCS#1 v2 standardisiert ist.

Wie auch die Forscher selbst erklären, ist der Angriff nicht geeignet, den für die Entschlüsselung einer Nachricht eingesetzten, geheimen RSA-Schlüssel auf einem Token zu kompromittieren. Berichte darüber (wie der auf heise Security) beruhten auf einem Missverständnis. "Ein Angreifer kann damit lediglich Zugriff auf symmetrische Schlüssel und verschlüsselte Nachrichten erlangen, die an das Token geschickt werden", erklärt Curry. In Ihrer FAQ zum Thema ergänzen die Forscher die Möglichkeit, dass ein geheimer RSA-Schlüssel kompromittiert werden könnte, wenn er zuvor durch eine symmetrische Verschlüsselung gesichert exportiert wurde.

Außerdem weist Curry darauf hin, dass ein Angreifer das Token selbst und die PIN zur Freischaltung des Zugriffs benötige. Das bedeutet aber nicht zwangsläufig, dass er dazu das Token in seinen Besitz bringen muss; ein Trojaner auf einem infizierten PC könnte die API-Funktionen durchaus im Hintergrund heimlich nutzen, nachdem der Anwender den Zugang via PIN einmal für eine legitime Anwendung freigeschaltet hat. Allerdings sei in einem solchen Fall der Angriff unnötig, schränkt der RSA-Blogger ein und spielt darauf an, dass der Angreifer sich dann die gewünschten Daten auch ganz regulär über die Funktionen des Tokens entschlüsseln lassen könnte.

Nicht ganz so einhellig ist die Einschätzung des Gefahrenpotentials. Während RSA Entwarnung gibt und nur eine "akademische Übung" aber keinen "brauchbaren Angriff" sieht, kritisiert Romain Bardou, einer der Autoren des Papers gegenüber heise Security, dass "RSA die Gefahr etwas ernster nehmen" sollte. (ju)