#!/bin/blog

January 7, 2012

Securitygewixe reloaded

Filed under: Security, UNIX/Linux/BSD — Tags: , — martin @ 11:13 am

Die WordPress-Referrer haben mir einen alten Beitrag über OpenBSD-Security nach oben gespült, in dem Linus Torvalds in seiner unnachahmlichen Art damit zitiert wird, daß er die OpenBSD-Entwickler für Securitywixer hält. Leider muß ich ihm zwischenzeitlich zustimmen.

Mich persönlich hat OpenBSD vor 2 Jahren beim Übergang von 4.6 zu 4.7 mit einer weitreichenden Änderung an der Firewallkonfiguration abgehängt, bei der Rewrite- und Filterregeln vereinigt wurden. Theoretisch betrachtet eine Vereinfachung. Praktisch leider mit dem Haken, daß es keinen Migrationspfad gab, um Regeln Zug um Zug umzustellen, denn mit Einführung der neuen Regeltypen waren die alten Regeln nicht mehr verfügbar. Die einzige Möglichkeit war, das gewachsene Regelwerk im Blindflug komplett umzustellen.

Die OpenBSD-Community zuckte mit den Schultern und verwies auf mein Testsystem, auf dem ich die Regeln ja testen kann. Was den Blindflug bei der Inbetriebnahme nicht minderte. Schade. Seitdem verzichte ich bei Installationen, die auch ohne Kopfschmerzen mal ein oder zwei Updates überstehen sollen, auf OpenBSD und greife lieber zu Debian Linux.

Advertisements

October 18, 2011

Der “sicherste USB-Stick der Welt”

Filed under: Hardware — Tags: , , — martin @ 6:44 am

In den letzten Tagen hat sich ja leider herauskristallisiert, daß die Bürger der Bundesrepublik Deutschland verfassungswidrig mit Computerwanzen abgehört werden. Man darf zum gegenwärtigen Zeitpunkt vielleicht hoffen, daß der Staat keine Methode hat, um andere Betriebssysteme als das des Marktführers Microsoft abzuhören, aber natürlich haben diese Nachrichten meine Paranoia geradezu beflügelt.

Insbesondere kam mir schlagartig die Frage eines Kollegen in den Sinn, als er mich irgendwann dabei beobachtete, wie ich die LUKS-Passphrase für meine Linux-Workstation eingab: “Wie hat sich Dein Rechner denn bei Dir authentifiziert?” – Gute Frage: Ich habe natürlich nicht sichergestellt, daß niemand die wahlweise auf dem Root-Dateisystem oder auf der initial RAM-Disk (initrd) liegende Abfrage der Passphrase manipuliert hat.

Wie kann man sicherstellen, daß in der eigenen Abwesenheit keine Manipulationen am Linux-Betriebssystem (bzw. den Dateien, von denen es bootet) vorgenommen wurden? Eigentlich ganz einfach: Das root-Filesystem muß verschlüsselt werden, und die Umgebung von der das System gebootet wird, also das /boot-Filesystem mit Kernel und initrd muß vor Manipulationen geschützt werden. Also mußte ein manipulationssicherer USB-Stick her. (Update: Booten vom verschlüsselten USB-Stick)

Ich habe mich also auf die Suche nach einem USB-Stick mit PIN-Eingabe gemacht. Nach kurzer Recherche bin ich auf die folgenden Modelle gekommen:

Beide benutzen Verschlüsselungschipsätze von ClevX. Ich habe mich für den teuren Stick von Lok-IT entschieden, da sowohl der verwendete Chipsatz von ClevX als auch das Endprodukt FIPS-zertifiziert sind. Das einfachere Modell von Corsair ist leider berüchtigt dafür, daß es standardmäßig eine leere Administrator-PIN als Hintertür mitbringt; des weiteren war bei der ersten Corsair-Generation der Flash-Chip relativ leicht zugänglich und nur schwach gegen physische Angriffe gesichert. Die Aussagen dazu, ob bei Corsair verschlüsselt oder nur der Zugriff auf den Flash-Chip kontrolliert wird, sind noch dazu widersprüchlich. Insgesamt ist also die Historie des billigen Corsair-Stick wenig beeindruckend; bei sorgfältiger Herangehensweise wird aber sicher auch er für viele Angreifer nicht zu knacken sein.

Die Elektronik im Stick von Lok-IT ist mit schwarzem hartem Epoxidharz vergossen; darüber hinaus werden die auf dem Flash-Chip gespeicherten Daten vom ClevX-Controller verschlüsselt. (Herstellerangaben)

Die Lieferung des Stick erfolgt in einer öffnungsresistenten Blisterverpackung. Der Stick hat ein massives Metallgehäuse und ist bei geschlossener Kappe wasserdicht. Auf seiner Rückseite ist ein gut lesbarer Barcode mit einer Seriennummer aufgedruckt. Der Stick ist nicht zu unförmig, aber am Macbook Air läßt er sich nur mit Mühe am linken USB-Port einstecken.

Beim Stick handelt es sich um ein autonom funktionsfähiges System, das über einen eingebauten LiPo-Akku zur Stromversorgung verfügt, welcher am USB-Bus geladen wird. Mit Hilfe der eigenen Stromversorgung sind alle PIN-Aktionen im ausgestöpselten Zustand verfügbar. Nach dem Entsperren kann der Stick 30 Sekunden lang in Ruhe in den PC eingesteckt werden. Wird der Stick später wieder gezogen, erfolgt automatisch die Sperrung. Wie das mit dem Entsperren funktioniert, sieht man schön im Video des Herstellers:

Der Stick ist aufgrund dieser Funktionsweise wie jeder normale USB-Stick verwendbar. Es ist keine Unterstützung durch das Betriebssystem erforderlich, es können beliebige Dateisysteme angelegt werden, es kann gebootet werden.

Nach dem Auspacken ist zur Inbetriebnahme zwingend die Vergabe einer PIN erforderlich; dabei wird von der beiligenden Kurzanleitung das Setzen der User-PIN beschrieben. Der Stick erzwingt eine Länge der PIN von mindestens 7 Ziffern und akzeptiert keine PINs, die aus Wiederholungen der selben Ziffer (1111111) oder aus einer aufeinanderfolgenden Ziffernfolge (3456789) bestehen.

Der Stick verfügt über klare und dokumentierte Policies für die Vergabe von zwei PINs für den User selbst und den Administrator, vulgo “Cryptographic Officer” oder “CO”. Die Kurzanleitung gibt nur her, wie die PIN für den User gesetzt werden kann; eine Anleitung zum Setzen der PIN für den CO mußte ich mühsam ergoogeln.

Die Interaktion zwischen User und CO ergibt Sinn und kann im Detail in der FIPS Security Policy des Lok-IT nachgelesen werden. Ist die User-PIN gesetzt, kann keine PIN für den Crypto-Officer mehr gesetzt werden, ohne daß zuvor die User-PIN eingegeben wird. Benutzt der CO seine PIN um den Stick zu entsperren, wird die vergebene PIN des Users gelöscht und kann nur durch den CO neu gesetzt werden. Eine fortwährende Kompromittierung der Userdaten durch den CO ist folglich nicht möglich.

Ab Werk sind auf dem Stick 6 vorgenerierte und nicht veränderbare AES-Schlüssel hinterlegt, von denen der erste zum Verschlüsseln der gespeicherten Daten verwendet wird. Eine Möglichkeit, den Stick auf den Auslieferungszustand zurückzusetzen, existiert nicht. Hat man beide PINs vergessen, bleibt nur noch, die PIN zehnmal falsch einzugeben. Daraufhin wird der Inhalt des Stick verworfen, indem der Controller den verwendeten Schlüssel löscht. Daraus folgt, daß dieser Vorgang nur sechsmal möglich ist; danach ist der Stick unbrauchbar.

Ob der Stick von Lok-IT, der laut Hersteller nicht nur von der Apple-Entwicklungsabteilung, sondern auch von der US-Regierung benutzt wird, auch eine Hintertür für die US-Regierung enthält, vermag dieses Review leider nicht zu sagen. Wer sich ernsthaft vor CIA, DHS und NSA schützen muß, wird seinen gesunden Menschenverstand in Verschlüsselungsfragen aber sicher sehr genau auf die Probe stellen.

Wenn man sich vom hohen Preis nicht abschrecken läßt, bekommt man mit dem Lok-IT ein kleines Stück Hardware, das den meisten Anforderungen an die Sicherheit der darauf gespeicherten Daten gerecht werden sollte.

Laut Hersteller ist die Version ohne FIPS-Zertifizierung identisch mit der nicht FIPS-zertifizierten Version, mit dem Unterschied, daß keine Aussage hinsichtlich der FIPS-Compliance gemacht wird. Das kann man beim Kauf evtl. in Betracht ziehen um ein paar Euros einzusparen, falls einem der Schritt hinunter zum eher spielzeughaften Corsair Padlock zu groß erscheint.

June 12, 2008

Goldenes Zitat

Filed under: Egoblogging — Tags: , — martin @ 4:56 am

An der Flughafen-Sicherheitskontrolle.

Er: Hui, da ist aber einiges drin. In den Rucksack würde ich gern mal reinschauen.
Ich: Klar. Kein Problem. Hier ein Fach, da ein Fach…
Er: *kruschtel*
Ich: …dort eins, hier eins und dort noch eins.
Er: Da sind aber viele Kabel drin…
Ich: …geht heute ja kaum noch ohne…
Er: …aber die Kabel sind ja nicht in verdächtiger Weise miteinander verbunden. Guten Flug!
Ich: Danke!

Blog at WordPress.com.