USB: Digitale Signaturen schützen vor bösartigen oder schlechten Geräten
Die kryptografischen Methoden der USB-Typ-C-Authentifizierung.
(Bild: Intel)
USB-Geräte mit Typ-C-Anschluss sollen sich künftig mit kryptografischen Zertifikaten ausweisen, um Malware-Angriffe und Probleme durch inkompatible Netzteile zu vermeiden.
Vor wenigen Tagen hat das USB-Spezifikationsgremium die USB Type-C Authentication Specification [1] als Bestandteil von USB 3.1 veröffentlicht. Nach diesen Vorschriften können sich kommende USB-Geräte mit Typ-C-Anschluss und mit Einschränkungen auch welche mit den alten Typ-A-Steckern gegenüber einem USB-Host "digital ausweisen". Das funktioniert wie sonst auch üblich mit digital signierten Zertifikaten.
Die USB-Geräteauthentifizierung soll es ermöglichen, Probleme mit mangelhaften USB-Netzteilen [2] zu vermeiden und Malware-Angriffe wie BadUSB [3] mit manipulierter Firmware von USB-Sticks einzudämmen. Dazu prüft der USB-Host beziehungsweise letztlich wohl der USB-Treiber die kryptografischen Signaturen und lässt nur Geräte mit signierter Firmware zu.
Signierte Firmware
Drei Nutzungsbeispiele nennt die Spezifikation:
- Hersteller von Mobilgeräten, die Schäden durch mangelhafte Typ-C-Netzteile und Typ-C-Ladekabel befürchten, können das Laden auf Netzteile mit signierter Firmware beschränken, wie es große Notebook-Hersteller über jeweils proprietäre Verfahren jetzt schon tun.
- Sobald es die dazu nötige Software gibt, könnten Smartphone-Besitzer in ihren Geräten festlegen, dass diese nur mit Ladegeräten kooperieren, die nach USB Power Delivery (USB PD) zertifiziert und das mit signierter Firmware belegen – etwa um Pannen beim Laden an öffentlichen Ladestationen zu vermeiden.
- Die Administratoren von Firmen-PCs könnten nur USB-Sticks und USB-Festplatten mit signierter Firmware als Massenspeicher zulassen.
Die Authentifizierung von Ladegeräten verlangt eine Verkabelung mit USB Typ C, weil dabei auch eine separate Leitung für den Configuration Channel (CC) vorgesehen ist. Bei Geräten mit Typ-A-Steckern kann die Authentifizierung auch über den USB-Datenbus erfolgen.
USB Type-C Authenticication and Bridging (0 Bilder) [4]
Brücken bauen
Ebenfalls neu ist USB Type-C Bridging: Diese Datenbrücke ist nur für USB-Hubs und -Docks sinnvoll, die gleichzeitig als USB-Power-Delivery-(PD-)Ladestation für einen upstream angeschlossenen PC-Host dienen sollen. Es geht darum, die zur Abstimmung der Ladeleistung nötige Kommunikation zwischen USB-PD-Ladegerät und Host zu ermöglichen – inklusive Authentifizierung. (ciw [6])
URL dieses Artikels:
https://www.heise.de/-3173701
Links in diesem Artikel:
[1] http://www.usb.org/developers/docs/
[2] https://www.heise.de/news/Amazon-wirft-viele-vermurkste-USB-C-Kabel-aus-dem-Shop-3157415.html
[3] https://www.heise.de/news/Viele-USB-Geraete-verwundbar-fuer-BadUSB-Angriffe-2454715.html
[4] https://www.heise.de/bilderstrecke/bilderstrecke_3174172.html?back=3173701;back=3173701
[5] https://www.heise.de/bilderstrecke/bilderstrecke_3174172.html?back=3173701;back=3173701
[6] mailto:ciw@ct.de
Copyright © 2016 Heise Medien