"Eine lange Liste falscher Annahmen"

Der bekannte Informatikprofessor Edward W. Felten hat zusammen mit einem Princeton-Forscherteam eine erstaunliche Methode entwickelt, bislang als sicher geltende Verschlüsselungssysteme zu knacken. TR sprach mit Felten über seine Entdeckung.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 7 Min.

Wer die Daten auf seinem Laptop auch im Falle eines Diebstahls schützen möchte, lässt das Betriebssystem die Festplatte vollständig verschlüsseln – moderne Rechnerumgebungen wie Mac OS X, Linux oder Windows Vista enthalten entsprechende Technologien standardmäßig, die dabei auf als unknackbar geltende Chiffrierungsalgorithmen setzen.

Edward W. Felten, Professor für Informatik an der Princeton University, stellte nun in einer aufsehenerregenden Studie fest, dass sich diese Technologie mit einem Trick aushebeln lässt. Dazu reicht es schon aus, dass sich der Rechner im geschützten Schlafmodus befindet. Stopfen lässt sich die Sicherheitslücke hingegen nur mit einer erheblichen Aufgabe von Nutzungskomfort.

Im Gespräch mit Technology Review erläutert Felten seine Methode – und die für viele Nutzer überraschenden Eigenschaften aktueller Rechentechnik, die das Forscherteam ausnutzte.

Technology Review: Herr Felten, bislang war kaum bekannt, dass DRAM-Speicherchips, die in jedem modernen PC stecken, ihren Inhalt auch dann bei sich behalten, wenn sie elektrisch abgeschaltet wurden. Können Sie erläutern, wie es zu dieser Eigenschaft kommt?

Edwart Felten: DRAM-Zellen sind im Grunde nichts anderes als Kondensatoren – man muss sie sich wie einen löcherigen Vorratstank vorstellen, in dem Elektronen gespeichert werden. Wenn man nun den Strom abdreht, fließen die Informationen schlückchenweise heraus, über eine bestimmte Zeitperiode. Das Überraschende daran war für uns, dass dieser Vorgang so lange dauern kann – einige Dutzend Sekunden und manchmal sogar Minuten.

TR: Können Sie erklären, wie Ihre Methode für das Knacken von Verschlüsselungsalgorithmen zum Schutz von Festplatten funktioniert, bei dem Sie genau dieses Phänomen ausnutzen?

Felten: Nun, die Dechiffrierungsschlüssel bei einer Festplattenverschlüsselung sitzen immer irgendwo im DRAM-Speicher. Um an sie heranzukommen, schaltet der Angreifer zunächst den Strom des Rechners aus und stellt die Energieversorgung dann gleich wieder her. Dann bootet er die Maschine in ein spezielles, böswilliges Betriebssystem hinein. Zu diesem Zeitpunkt enthält der Speicher noch immer die Originalinformationen, die verfügbar waren, als der Rechner noch nicht abgeschaltet wurde – die gewünschten Schlüssel natürlich auch. Das kurze Abschalten des Stroms hat daran rein gar nichts geändert. Der Angreifer kann dann die gewünschten Dechiffrierungsschlüssel aus dem Speicher auslesen und damit die geschützten Informationen auf der Festplatte jederzeit entschlüsseln.

TR: Das Video, in dem Sie diesen Ansatz demonstrieren, wirkt wie ein Science-fiction-Film – der Speicherchip wird entnommen und Sie verwenden flüssigen Stickstoff, um ihn zu kühlen.

Felten: Eigentlich sind solche Tricks in der Praxis gar nicht notwendig. Normalerweise kann der Angreifer den Strom so schnell ab- und wieder andrehen, dass man die Chips gar nicht kühlen muss.

TR: Warum hilft diese Kühlung dennoch? Damit der Speicher länger ohne Strom seine Daten beibehält? In Ihrem Versuch reicht es mit Stickstoff für unglaubliche zehn Minuten.

Felten: Die physikalischen Eigenschaften von Silizium-basierten Schaltkreisen verändern sich, wenn man sie abkühlt. Wir konnten zeigen, dass das einen überraschend großen Effekt darauf hat, wie lange DRAM-Riegel ihre Inhalte auch ohne Energie bei sich behalten können.

TR: Kann Ihre Methode tatsächlich jedes Festplattenverschlüsselungssystem knacken, das heute auf dem Markt ist?

Felten: Alle, die wir getestet haben, darunter Microsoft BitLocker, Apple FileVault, dm-crypt unter Linux und TrueCrypt. Microsofts System ist in bestimmten Konfigurationen etwas sicherer, aber es sieht wohl so aus, als seien die meisten oder gar alle verfügbaren Festplatten-Verschlüsseler mit großer Wahrscheinlichkeit angreifbar.

TR: Welche Lösung sehen Sie für das Problem? Könnte man einen Spezialchip auf die Hauptplatine packen, der nur für den Schlüssel gedacht ist und sich schnell entleert?

Felten: Wir diskutieren einige Lösungsvorschläge in unserem Paper. Die wohl einfachste Methode ist, den Laptop vollständig auszuschalten und ihn nicht nur in den Schlafmodus zu versetzen, wenn man ihn nicht aktiv benutzen will. Doch genau das ist im Alltag sehr unpraktisch, weil man dann jedes Mal erst wieder lange booten muss, wenn man den Rechner wieder benutzen will.

TR: Der Schlüssel muss irgendwo abgelegt sein. Könnte es helfen, wenn er auch im Speicher verschlüsselt würde, wie man das bei Mac OS X- und Windows-Rechnern mit der Auslagerungsdatei auf der Festplatte machen kann, die den Speicherinhalt enthält?

Felten: Das Verschlüsseln des Schlüssels selbst im Speicher hilft nicht weiter, weil man ja dann einen neuen Schlüssel bräuchte, um den Originalschlüssel neuerlich zu entschlüsseln. Wo würde man diesen denn dann hinspeichern? Nein, wenn dieser dann auch wieder im Speicher steckt, hat sich die Zwickmühle kaum verbessert.

TR: Lassen sich DRAM-Chips schaffen, die ihren Inhalt sofort verlieren? Und wie kommt es, dass manche der Maschinen, die sie untersucht haben, den Speicherinhalt in Sekunden loswerden, während andere mehrere Minuten ohne Strom auskommen?

Felten: Es gibt Unterschiede beim Aufbau der Chips, aber ich sehe nahezu keine Chance, dass ein Speichermodul sich schnell genug löschen könnte – insbesondere auch dann, wenn der Angreifer kein Problem damit hat, die Chips zu kühlen. Hinzu kommt: Würde man DRAMs bauen, die ihren Inhalt sehr schnell verlieren, wären sie wohl im praktischen Betrieb wesentlich unzuverlässiger als heutige Modelle. Das will keiner.

TR: Ist nicht aber schon das Betriebssystem ein Angriffspunkt? Jede Form böswilliger Software könnte sich doch auch so den Schlüssel greifen, wenn er bereits im Speicher liegt.

Felten: Das stimmt – aber nur, wenn der Angreifer Code auf dem Computer installieren kann, während dieser läuft. Ein Laptop, der sich im sicheren Schlafmodus befindet oder mit einem geschützten Bildschirmschoner ausgestattet ist, der zur Nutzung ein Passwort verlangt, ist doch recht gut geschützt gegen solche softwarebasierten Angriffe. Ganz im Gegenteil zu unserer Methode, bei der er trotzdem zum leichten Opfer wird.

TR: Der physische Zugriff auf eine Maschine bleibt also immer ein Risiko.

Felten: Ja. Zuvor dachte man aber eben, dass eine Festplattenverschlüsselung die Dateien auf einem Laptop schützt, selbst wenn dieser verloren oder gestohlen wurde. Unsere Ergebnisse zeigen nun, dass das nicht stimmt.

TR: Das heißt also – wer unterwegs ist, sollte seinen Laptop immer vollständig abschalten.

Felten: Das ist wie gesagt die beste Lösung, die es heute gibt, wenn man sich Sorgen um die Daten auf seinem Rechner macht.

TR: Wurden Sie und Ihr Forscherteam bereits von Herstellern wie Microsoft kontaktiert?

Felten: Wir sind selbst auf sie zugegangen. Sie nehmen die Untersuchung ernst, aber es gibt eben nicht viel, was sie sofort dagegen tun könnten.

TR: Glauben Sie, dass wir weitere ähnlich neuartige Methoden sehen werden, mit denen sich eigentlich als sehr sicher geltende Schutzmaßnahmen aushebeln lassen?

Felten: Es gibt ja bereits eine lange Liste an Sicherheitslöchern, die ebenfalls auf falschen Annahmen basieren, wie Rechner arbeiten. Dementsprechend zweifele ich nicht daran, dass wir in Zukunft mehr solcher Angriffe sehen werden. (bsc)