Deprecated: wp_make_content_images_responsive ist seit Version 5.5.0 veraltet! Benutze stattdessen wp_filter_content_tags(). in /home/customer/www/winmagic.com/public_html/blog-de/wp-includes/functions.php on line 4778

Crypto-Heartbeat: Schutz vor SED-Angriffen

In einem früheren Artikel habe ich über zwei Forensik-Experten von KPMG Kanada berichtet, die auf der Black Hat Europe 2015 ihre Ergebnisse in der Präsentation „Bypassing Self-Encrypting Drives (SED) in Enterprise Environments“ (Umgehung von SED-Laufwerken in Unternehmensumgebungen) vorgestellt haben.

Sie beschrieben vier Arten von „Angriffen“ auf Computer mit selbstverschlüsselnden Laufwerken (SEDs):

  1. Beim Hot-Plug-Angriff wird ein SATA-Daten-und Verlängerungskabel angeschlossen, wenn sich das Gerät im Ruhemodus befindet.
  2. Beim Forced-Restart-Angriff wird ein Soft-Reset ausgelöst und das System über ein alternatives Betriebssystem auf einem USB-Stick neu gestartet.
  3. Der Hot-Unplug-Angriff zielt auf ungeschützte SATA-Daten und Stromkontakte ab.
  4. Beim Key-Capture-Angriff im Ruhemodus werden SEDs durch manipulierte Laufwerke ausgetauscht, die eine spezielle Firmware enthalten oder den SATA-Bus ausspionieren, um an das Passwort zu gelangen.
[spacer height=”20″]

Woher kommt dieses Problem?

SEDs sind nicht darauf ausgelegt, einen Datenzugriff zu verhindern, nachdem das Gerät mit gültigen Zugangsdaten entsperrt wurde. SEDs verschlüsseln gespeicherte Daten lediglich vor der Benutzerauthentifizierung beim Systemstart. Nachdem der Datenverschlüsselungs-Key (oder Medien-Verschlüsselungs-Key) der Verschlüsselungs-Engine zur transparenten Ver- und Entschlüsselung der Daten übergeben wird, hängt die Verschlüsselung der Daten allein von der Betriebsumgebung ab. Diese Art der Verschlüsselung ist deutlich schwächer als ein fachmännisch implementiertes Verschlüsselungssystem.

Wie lässt sich dieses Problem beheben?

Wir haben die Ursache des Problems erkannt und eine entsprechende Lösung für diese Art von Angriffen entwickelt. Wir haben das gefunden, was andere bisher übersehen haben. Die SED muss Teil des Prozesses sein, bei dem sichergestellt wird, dass der berechtigte Benutzer bzw. das echte Betriebssystem noch vorhanden ist, kurz nachdem sich der ursprüngliche, als vertrauenswürdig eingestufte Benutzer angemeldet hat.  Anders ausgedrückt: Der Angreifer hat keine eigene Betriebssysteminstanz eingespeist, um Daten abzugreifen. Wir setzen auf das Konzept vertrauenswürdiger Sitzungen, die auch dann noch bestehen, wenn der Computer und somit die SEDs ein- und ausgeschaltet oder in den Ruhezustand versetzt werden. Der Crypto-Heartbeat des ursprünglichen, authentischen Betriebssystems wird von der SED genutzt, um das echte Betriebssystem zu überwachen. Steht der Crypto-Heartbeat nicht zum richtigen Zeitpunkt zur Verfügung oder wird manipuliert, schreitet die SED ein und sperrt sich selbst (d. h., sie versetzt sich in einen kryptografisch sicheren Zustand, der eine vollständige Authentifizierung erfordert, um eine weitere vertrauenswürdige Sitzung zu starten und das Laufwerk zu entschlüsseln).

Crypto-Heartbeat nutzt eine verschlüsselte, regelmäßige Nachricht (den sog. Heartbeat), um eine vertrauenswürdige Sitzung zwischen Host und SED aufrechtzuerhalten.

Crypto-Heartbeat zwischen SED und Host-System hat folgende Vorteile:

  • Ein Shared Secret (symmetrischer Heartbeat-Key) zwischen Host-Instanz und SED wird kurz nach der ursprünglichen Authentifizierung vor dem Systemstart erstellt.
  • Das SED benötigt regelmäßige Heartbeats vom Host auf der Basis des gemeinsam genutzten Schlüssels.
  • Das SED behält den gemeinsam genutzten Schlüssel auch nach mehrmaligem Ein- und Ausschalten bei (Heartbeat kann ein SED entsperren, aber das SED kann mit dem eigenen Heartbeat-Key alleine das SED nicht entsperren).
  • Heartbeats sind sequenziert
  • und weisen Nutzdaten auf. Dazu gehört eine Zählung der Schreib-/Lesetransaktionen, die mit dem SED übereinstimmen.

Die folgende Abbildung veranschaulicht die Funktionsweise von Crypto-Heartbeat:

heartbeat_diagram_pp_v5-850x458

Der Ablauf von Crypto-Heartbeat sieht wie folgt aus:

  • Die vertrauenswürdige Sitzung beginnt mit der Anmeldung am SED.
  • Die vertrauenswürdige Sitzung kann kurz sein oder sehr lang dauern.
  • Die vertrauenswürdige Sitzung endet, wenn der Host (die Betriebssysteminstanz) beendet wird. Das ist normalerweise dann der Fall, wenn der Computer heruntergefahren wird. Nach dem Ruhemodus wird die vertrauenswürdige Sitzung jedoch fortgesetzt.
  • Sie wird beendet, wenn andere Betriebssysteminstanzen das SED verwenden (z. B. Protokollinjektion).
  • Mit diesem Konzept der vertrauenswürdigen Sitzungen sind Sie gegen mögliche künftige Angriffe gewappnet.

Mit Crypto-Heartbeat kann das SED die vier auf der Black Hat Europe 2015 erwähnten Angriffe erfolgreich abwehren. Diese innovative Lösung erkennt einen Angriff und weiß, wann die ursprüngliche vertrauenswürdige Sitzung beendet ist. Dank dieser vorausschauenden Innovation bleiben SEDs die führende Verschlüsselungstechnologie in modernen Unternehmen.

[callout title=”WEITERE INFORMATIONEN” link=”https://www.winmagic.com/crypto-heartbeat?source=socialmedia”]WEITERE INFORMATIONEN ÜBER SELBSTVERSCHLÜSSELNDE LAUFWERKE[/callout]

Comments

comments

Vorheriger Beitrag
So schützen Sie Ihr Unternehmen vor internen Datenlecks
Nächster Beitrag
Sieben Tipps gegen Datenverlust auf Reisen

Related Posts

Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü