certgate Preboot Authenticator blockt "Evil Maid"-Angriffe

Die neue Version des Preboot Authenticators bringt noch mehr Sicherheit für Festplattenvollverschlüsselung

Nürnberg / Barcelona, 14.02.2011 – Auf dem Mobile World Congress in Barcelona zeigt der Nürnberger IT-Sicherheitsexperte certgate erstmals seine neueste, weiterentwickelte Version des Preboot Authenticator. Der Sicherheitstoken auf der Basis der certgate micro Smartcard schützt Festplattenvollverschlüsselungsprogramme nun auch zuverlässig gegen Bootkits und verhindert so den bekannten "Evil Maid"-Angriff.

Nachdem die unter dem Namen "Evil Maid Attack" bekannt gewordene Schwachstelle die Verletzlichkeit klassischer Festplatten-Verschlüsselungssysteme gezeigt hatte, erklärten viele Anbieter von Verschlüsselungssoftware, dass im Falle eines ─ noch dazu mehrfachen ─ physischen Zugriffs des Angreifers auf den Rechner der Schutz der verschlüsselten Daten nicht oder nur mit großem Aufwand sicherzustellen sei. "Wir haben uns mit diesen Aussagen nicht zufrieden gegeben und bieten nun mit unserem Preboot Authenticator eine einfache und kostengünstige Ergänzung für die gebräuchlichsten Festplattenvollverschlüsselungs-Programme an," erläutert Axel Stett, Geschäftsführer der certgate GmbH. "Unser Token macht die Programme nicht nur resistent gegen Bootkits, sondern bringt dem Benutzer auch enorme Vereinfachung beim Umgang mit Festplatten-Verschlüsselungssoftware."  certgate hat das zugrundeliegende Verfahren zum Patent angemeldet.

In die Schlagzeilen kam der "Evil Maid" Angriff, weil er zeigte, dass auch die Verschlüsselung der Festplatte keine hohe Sicherheit vor dem Diebstahl von Daten bietet, wenn ein Angreifer ─ in diesem Fall das Zimmermädchen ─ nur für ein paar Minuten Zugang zum ausgeschalteten Rechner oder Notebook hat. Beim ersten Zugriff wird unbemerkt ein kompromittierter Bootloader von einem USB-Stick auf den Rechner überspielt. Ein darin enthaltener Keylogger protokolliert beim nächsten Starten des Rechners durch den Besitzer das Entschlüsselungs-Passwort mit und speichert es für den Angreifer zugänglich ab. Kommt das "Zimmermädchen" am nächsten Tag wieder, findet es das Passwort vor und kann auf die Daten der Festplatte frei zugreifen.

Der Preboot Authenticator von certgate ersetzt ein langes und vom Benutzer schwer zu merkendes Passwort (optimal eine mindestens 32-stellige alphanumerische Zufalls-Zeichenfolge) durch eine echte 2-Faktor-Authentisierung mit einfacher 4 bis 6-stelliger PIN, ohne die kryptographische Sicherheit des Systems zu schwächen. Zur Authentisierung am Rechner wird die certgate Smartcard im Format einer microSD genutzt, wobei der Rechner sowohl über einen handelsüblichen USB-Adapter als auch über ein Smartphone mit der Krypto-Karte verbunden werden kann.

In der aktuellen Version hat certgate den Preboot Authenticator um eine Abwehrfunktion gegen Bootkits erweitert. Der Preboot Authenticator vergleicht bei jedem Start den auf dem Rechner vorgefundenen Bootsektor mit einem auf der Krypto-Karte abgespeicherten Image und verhindert das Starten des Betriebssystems, wenn er Veränderungen feststellt.


Über certgate GmbH
Das in Nürnberg ansässige IT-Sicherheitsunternehmen entwickelt und vermarktet Produkte und Lösungen, die den Umgang mit mobilen Kommunikationsgeräten sicherer und benutzerfreundlicher machen. certgate hat die weltweit erste microSD-Card mit Smartcard-Funktionalität entwickelt und neben weiteren Entwicklungen im Bereich der mobilen IT-Sicherheit zum Patent angemeldet.

Die certgate micro SmartCard ist das weltweit erste Serienprodukt, das eine  Smartcard auf einer microSD-Karte integriert. Sie verfügt sowohl über einen leistungsfähigen Krypto-Prozessor als auch einen davon unabhängigen Flashspeicher.

Ziel der certgate-Produkte ist es, Lücken in der Sicherheit und der Praktikabilität mobiler Anwendungen zu schließen. Gleichzeitig treiben sie die Mobilisierung von Geschäftsprozessen im Finanzsektor, von geheimschutzbedürftigem Informationsaustausch in der öffentlichen Verwaltung und die Absicherung des flexiblen Zugriffs auf Unternehmensdaten voran. Die certgate-Produkte ergänzen mobile Applikationen auf wirtschaftliche und ergonomische Art um die Sicherheit von Smartcard-basierter Authentifizierung und Verschlüsselung.

Neben Standardprodukten zur verschlüsselten Datenspeicherung, zum sicheren Mobilbanking ohne TAN, zur Generierung von Zertifikaten und persönlichen Signaturen sowie zum Aufbau sicherer VPN-Verbindungen auf mobilen Endgeräten beschäftigt sich certgate auch mit kundenindividuellen Sicherheitslösungen für Smartphones, PDA und andere Mobilgeräte auf der Basis seiner certgate micro SmartCard.
www.certgate.com

Pressekontakt certgate
certgate GmbH
Jeannot Joffroy
Merianstraße 26
90409 Nürnberg
Tel.: 0911 / 9 35 23 32
Fax: 0911 / 9 35 23 52
press@certgate.biz