Nieuws
image

Overheid waarschuwt voor aanval op RSA-tokens

donderdag 28 juni 2012, 09:52 door Redactie, 6 reacties

Net National Cyber Security Center (NCSC) waarschuwt dat onderzoekers een aanval hebben bedacht waarmee cryptografische sleutels uit bepaalde beveiligingstokens zijn te achterhalen. De beveiligingstokens worden onder andere gebruikt om gebruikers te authenticeren, harde schijven en communicatie te versleutelen en e-mails digitaal te ondertekenen. Het onderzoek verscheen een week geleden online en zal tijdens de CRYPTO2012 conferentie nader worden toegelicht, hoewel een analyse al is verschenen.

Volgens het NCSC doet de kwetsbaarheid zich alleen voor bij sleutels die met behulp van de verouderde standaard zijn gegenereerd. Op een token kunnen meerdere sleutels staan. De aanval maakt gebruikt van het manipuleren van het importeermechanisme voor sleutels dat een onderdeel is van de PKCS#11-standaard. Sleutels maken gebruik van ‘padding’. Padding wordt gebruikt als onderdeel van de encryptiemethode. Deze kwetsbare sleutels maken gebruik van een verouderde vorm van padding.

Niet waar
Het kraken van een RSA SecurID 800 token zou in 13 minuten gebeurd zijn. Het NCSC merkt op dat gebruikte aanvalsmethode een optimalisatie van een eerder gevonden methode is. Via de aanval is het niet mogelijk om tokens te klonen. Naast RSA SecurID zijn ook Aladdin eTokenPro, Gemalto Cyberflex, SafeNet iKey 2003 en Siemens CardOS kwetsbaar.

ArsTechnica kwam maandag met het bericht over de tokens, waarop een reactie van RSA volgde. "Het is een verontrustende claim en zou klanten die RSA SecurID 800 authenticator hebben uitgerold zorgen moeten baren. Het enige probleem is dat het niet waar is", aldus Sam Curry op het RSA blog.

Volgens de beveiliger moeten mensen niet alles geloven wat ze lezen. Curry zegt dat onderzoek naar de producten van RSA prima is, maar dat onderzoeken niet tot verwarring en misplaatste zorg mogen leiden.

Reacties (6)
28-06-2012, 11:38 door User2048
Dit is weer zo'n door de media opgeblazen verhaal, net als laatst met de backdoor die de Chinezen in hardware zouden hebben verstopt.

Deze onderzoekers hebben een bekende aanval geoptimaliseerd. Van een praktische aanval op de tokens is geen sprake. Dus nu niet meteen allemaal je tokens in de prullenbak gooien!
28-06-2012, 12:45 door [Account Verwijderd]
Het is geen aanval op tokens, het is een aanval op elk device dat certificaten opslaat. Da's iets helemaal anders en daardoor zijn veel meer kaarten / tokens kwetsbaar.
28-06-2012, 14:07 door [Account Verwijderd]
[Verwijderd]
28-06-2012, 19:00 door Anoniem
Weer een typisch geval van opgeblazen onzin. Ik stel voor dat iedereen de Sam Curry blog leest.
28-06-2012, 21:25 door slartibartfast
En dan ook alleen op de SecurID 800 van RSA. Die heeft een USB poort waardoor je van buitenaf met een API kan challengen. En dat veel en snel.

De meest gebruikte SecurID is tegen tampering beveiligd en voor zover ik weet heeft nog niemand het secret uit zo'n sleutel kunnen halen of in verband kunnen brengen met serial van de key (behalve de hackers uit maart 2011 door diefstal van de database met die twee) of met het secret in de CAG.

Dus wetenschappelijk fraai artikel en voor de zoveelste keer gaan de media volledig de mist in met de essentie van het verhaal.

En moet ik weer iedereen in het bedrijf gaan vertellen hoe het zit. :-(
29-06-2012, 13:57 door Anoniem
Welcome to Planet FUD
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure