Corsair Padlock 2 - Sicherheitslücke!

Die erste Inkarnation des Padlock hatte bereits eine klaffende Sicherheitlücke, denn die richtige Pin wurde nur zur Spannungsversorgung der Speicherchips verwendet, ein mechanischen Überbrücken der Kontakte reichte aus, um diesen Stick auszutrixen und an die Daten zu kommen.

Beim Padlock 2 hat sich nun ein ähnlich schwer wiegendes Sicherheitsloch aufgezeigt, bei der die Pineingabe umgangen werden kann, obwohl der Hersteller von "256-bit Hardware-Verschlüsselung" spricht.

Corsair hat ein "Security Update Procedure" für diesen Stick veröffentlicht, das einen sicheren Zustand herstellen soll. Heise Security hat das Problem zudem etwas weiter untersucht und stellte fest, dass sich das Passwort vor dem Update mit einer bestimmten Tastenkombination löschen lässt, wobei die Daten erhalten bleiben und anschließend ohne Sicherung auslesbar sind.

Dieses Verhalten überrascht doch sehr, da der Stick explizit mit Hardware-Verschlüsselung beworben wird und damit nach dem Löschen des Passworts / Schlüssels eigentlich alle Daten unbrauchbar sein sollten. Dass die Daten nach dem Löschen lesbar bleiben deutet darauf hin, dass die Daten nicht wirklich sicher verschlüsselt sein können. Die Daten könnten zum Beispiel lediglich mit einem Generalschlüssel beziehungsweise festen Verschlüsselungsalgorithmus unkenntlich gemacht werden, die vom eigentlich Pin unabhängig sind. Dies würde auch die Türen für weitere Angriffe auf den Stick eröffnen. Eine vorhandene Hardware-Verschlüsselung bringt natürlich keine Sicherheit, wenn der Schlüssel bekannt ist oder herausgefunden werden kann.

Wir haben in unserem Test bereits angesprochen, dass die Sicherheit mit dem Vertrauen zum Hersteller steht und fällt. Nach dem ersten peinlichen Ausrutscher beim Padlock 1 hat Corsair nun auch im zweiten Anlauf deutlich Vertrauen beim Thema Sicherheit eingebüßt. Wenn Sie wirklich auf die Sicherheit der Daten vertrauen möchten, kann man daher im Moment den Corsair Padlock 2 leider auch nicht empfehlen. Wir haben unseren Test mit einem entsprechenden Hinweis abgeändert.

Der Padlock 2 zeigt wiedereinmal eindrucksvoll, dass man Herstellern bei der eingesetzten Sicherheitstechnik niemals trauen sollte und nur ein offenes System, das von externer Seite vollständig überprüft werden konnte, einen soliden Schutz ermöglichen kann.

Beim Thema Sicherheit gilt wie so oft der Merksatz: Vertrauen ist gut, Kontrolle ist besser.