RSA SID800 Token
Kürzlich hatte ich einen RSA SID800 SecurID-Token zum Test.So einen. Ich arbeite inzwischen schon seit einigen Jahren mit RSA SecurID. Mein ältester Token stammt noch von der Vorgängerfirma Security Dynamics, hieß noch Access Control Encryption (“ACE”), ist im Februar 1996 abgelaufen , und – glaubt’s oder glaubt’s nicht – in der LCD-Anzeige blinkt zumindest der Punkt immer noch. Die späteren kleinen, schwarzen Token haben sich als ziemlich robust erwiesen und das System hat eigentlich immer ganz gut funktioniert. Solange man die Seed-Dateien geheim hält und sich gegen Man-in-the-Middle schützt, ist das Verfahren eigentlich ziemlich gut. Die Sicherheit beruht darauf, daß der Token ein hermetisch verschlossener Rechner ist, der von außen (wenn man seiner nicht gerade physisch habhaft wird) eigentlich nicht zu kompromittieren ist. Ist der Rechner auch noch so verwanzt, er kann keinen Code verwenden, den der Benutzer nicht willentlich und wissentlich abliest und eingibt (von jenem besonderen Fall einer Firma mal abgesehen, die die Token für die Fernwartungskunden auf einen Scanner klebte, damit die Mitarbeiter alle von zuhause aus per Web-Frontend die aktuellen Codes abfragen können…).
Ich kann mich noch an eine kuriose Begebenheit erinnern, als ich auf dem Flughafen von Melbourne so ein Ding mal hinter dem Tisch der Röntgenkontrolle auf dem Boden fand und es dem Personal für den Fall gab, daß der Inhaber zurückkommt und es sucht. Erstaunt rätselte man, was das sein könnte, vielleicht ein Kinderspielzeug? Nee, sag ich, ich kenne die Dinger, das ist ein “Security Device”. Schockschwerenot. Ein kleines, unbekanntes Ding, das was mit Security zu tun hat, auf dem seltsame Zahlen stehen und das ersichtlich herunterzählt. Und das damals kurz nach 9/11. Hätt ich das Ding doch bloß nicht gefunden. Naja, schließlich hab ich sie überzeugen können, daß das Ding völlig harmlos ist und sie es einfach behalten sollen, bis sich einer meldet, der es sucht. Wie dem auch sei, bisher war ich mit den Dingern ansonsten zufrieden.
Auch der neue SID800 sah gut aus. Jetzt auch mit USB-Krypto-Stick, macht irgendwas schlaues. Gleich mal ausprobieren. Zwei Geräte in einem: Ein gewöhnliches Token und per USB noch ein kryptographisches Token, in dem Schlüssel sicher abgelegt werden. Kam wie üblich mit Windows-Software. Man steckt den Token in den USB-Slot und schon braucht man die lästige 6-stellige Zahl nicht mehr abzutippen, sondern kann sie direkt in den Cut-and-Paste-Puffer laden, um sie direkt und fehlerfrei in irgendein Login-Fenster einzugeben. Schön.
Moment mal! Das heißt, daß der Rechner ohne weiteres den aktuellen Token-Code ablesen kann, ohne Zutun des Benutzers. Es reicht, wenn der Stick im USB steckt. Ist der Rechner kompromittiert, kann der Angreifer Codes auslesen, ohne daß der Benutzer das merkt. Insbesondere merkt der Benutzer nichts von einem mißlungenen Einlogversuch – wie bei man-in-the-middle. Verbunden mit einem Keylogger hat man ruck-zuck die PIN und Echtzeit-Zugriff auf die Tokens.
Noch besser: Es ist normalerweise für einen Keylogger gar nicht so einfach, im Strom der Eingaben ein Passwort zu finden, wenn er nicht gerade nach einem bestimmten Dialog sucht. Hat der Keylogger aber Zugriff auf den jeweils aktuellen Tokencode, dann kann er im Eingabestrom sehr schnell und einfach einen Einlog-Vorgang finden. In einer Umgebung von vielleicht 200 Zeichen wird man dann sicherlich auch die PIN und die Adresse zum Einloggen finden. Oder eben die offenen Netzwerkverbindungen mitschreiben.
Da bin ich nicht mehr so begeistert. Reaktion von RSA: Der Benutzer verlangt nach Bequemlichkeit. Nach Sicherheit scheint er nicht so sehr zu verlangen…