Fehler in Verschlüsselungsprodukt ermöglicht Zugriff auf geheime Schlüssel
Mit einer bestimmten Folge von Befehlen lassen sich geheime Schlüssel aus dem Hardware Security Module (HSM) des Hersteller nCiphers auslesen.
nCipher, Hersteller von Hardware-Verschlüsselungsprodukten, weist in einem Security Advisory darauf hin, dass es möglich ist, geheime Schlüssel des Hardware Security Modules (HSM) auszulesen. HSMs können zur Beschleunigung kryptografischer Funktionen an Server angeschlossen werden, etwa über PCI, SCSI oder ein Netzwerk. Durch einen Implementierungsfehler in der Firmware kann ein Angreifer mit einer bestimmten Folge von Kommandos auf den Speicher des Moduls zugreifen, in dem die Schlüssel abgelegt sind. Der Angreifer muss allerdings zuvor Zugriff auf den Host erhalten, also autorisierter Benutzer sein oder den Host kompromittiert haben.
Nach Angaben des Herstellers verfügen nicht alle HSM-Versionen über die erforderlichen Kommandos, eine Liste der betroffenen Versionen ist im Advisory aufgeführt. nCipher stellt einen Patch über den Support bereit.
Siehe dazu auch: (dab)
- Security Advisory von ncipher
