Mit Kältespray FileVault und TrueCrypt knacken

[radneuerfinder]

   

[radneuerfinder]

http://www.zdnet.com.au/news/security/soa/Apple-OS-X-flaw-exposes-Keychain-password/0,130061744,339286394,00.htm
http://www.fscklog.com/2008/02/mac-os-x-schwac.html

[Florian]

Schon interessant, danke. Das sind schon sehr grundsätzliche Programmierfehler, ich frage mich immer, wie so etwas noch passieren kann.

[warlord]

Klar ist es nicht gerade das Tollste, die Passworte im Klartext im Speicher zu behalten. Aber andererseits finde ich diese Diskussionen doch auch reichlich schizophren. Dass bei einer Anwendung, bei welcher ein Benutzer ein Passwort nur zu Beginn einer Session eingeben muss und dieses während der Dauer der Session verfügbar bleibt, dieses Passwort eben halt verfügbar bleibt, ist doch mal sowas von logisch. Sich darüber aufzuregen ist, wie wenn man sich darüber aufregen würde, dass man bei Regen nass wird. Natürlich kann man (und ja sollte man) das Passwort verschleiert speichern. Und ja, state-of-the-art sind Systeme, die gespeicherte Passworte mehrfach pro Sekunde neu verschlüsseln. Jeder noch so grosse Aufwand ändert aber nichts daran, dass das Passwort vom System ja rekonstruiert werden können muss. Und was das System aufgrund seiner gespeicherten Daten rekonstruieren kann, das kann jeder, der durch physischen Zugriff an diese gespeicherten Daten kommt, auch rekonstruieren. Es ist ist einfach mehr oder weniger schwer.

Dass gewisse sicherheitsbewusste Leute offenbar erst jetzt merken, dass man nicht gleichzeitig den Komfort, ein Passwort nur zu Beginn einer Session eingeben zu müssen, und einen Schutz bei physischem Zugriff während dieser Sessiion haben kann, erstaunt mich ja schon.

[radneuerfinder]

Verständnissfrage: Hat das was mit der 5 Minuten Frist zu tun, in der man ein Passwort nicht neu eingeben muss? Danach müsste es doch theoretisch aus dem RAM entfernt werden?

[warlord]

Nicht nur. Mit allem was irgendwie verschlüselt wird und während Deiner ganzen Sitzung verfügbar bleibt. Z.B. Dinge wie Dein Login-Schlüsselbund, FileVault, gemountete verschlüsselte Disk Images.

[radneuerfinder]

Ja, aber der Login-Schlüsselbund wird doch nach 5 Minuten (das kann man auch auf 0 Minuten ändern) verriegelt? Also nix mit ganze Sitzung. Oder doch??

[warlord]

Kannst Du so einstellen. Standardmässig bleibt er aber ständig offen, dachte ich.

Ganze Sitzung war vielleicht auch nicht richtig bzw. zu stark vereinfachend ausgedrückt. Gemeint ist: ein Passwort, das über den unmittelbaren Zeitpunkt, zu dem es verwendet wird, hinaus verfügbar bleibt.

[radneuerfinder]

Kannst Du so einstellen. Standardmässig bleibt er aber ständig offen, dachte ich.

Du hast recht, standardmäßig bleibt der offen. Bei mir hat anscheinend der MigrationsAssi brav gearbeitet und eine jahrealte, von mir längst vergessene, Einstellung auf 5 Minuten übernommen.

[radneuerfinder]

und hier noch der Beicht von Heise:
http://www.heise.de/newsticker/meldung/104295/

[mbs]

Bei einigen technischen Details muss ich hier widersprechen. Es ist grundsätzlich schlechtes Sicherheitsdesign, ein Kennwort länger als in paar Sekunden im Speicher zu halten. Verschleierung ist besser, aber auch nicht besonders toll.

Die angemessene und eigentlich übliche Lösung, um zwischen zwei Softwarekomponenten, die sich nur per Kennwort vertrauen dürfen, eine sichere Verbindung ohne Offenlegung des Kennworts aufzubauen, ist, auf Basis des Kennworts selbstverfallende, kryptografisch gesicherte Wegwerfschlüssel zu generieren und diese zur Authentifizierung bzw. Entschlüsselung anderer Dinge zu verwenden.

Ein Kennwort darf *niemals* vom System rekonstruiert werden können. (Und Mac OS X kann das üblicherweise auch nicht, denn es speichert in den Accounts keine Kennworte im Klartext, sondern generiert aus dem Kennwort einen Hash-Code, aus dem sich in Rückwärtsrichtung das Kennwort nicht mehr ermitteln lässt.) Das System kann nur noch in Vorwärtsrichtung ermitteln, ob ein gerade eingegebenes Kennwort zum gespeicherten Hash-Code passt und "weiß" dann nur in diesem kurzen Moment der Authentifizierung, dass es tatsächlich ein gültiges Klartextkennwort hat. Der Klartext muss aber so schnell wie möglich wieder verworfen werden.

Verständnissfrage: Hat das was mit der 5 Minuten Frist zu tun, in der man ein Passwort nicht neu eingeben muss?

Nein. Auch hier wird kein Kennwort gespeichert. Dieser Mechanismus funktioniert wie von mir beschrieben über einen gesicherten Wegwerfschlüssel, ein sogenanntes "Security Token".

[warlord]

Ja klar, das ist alles korrekt. Und meine Aussagen waren natürlich stark vereinfachend, wenn ich von der Rekonstruierbarkeit des Passwortes gesprochen habe. Gemeint war nicht notwendigerweise das Ausgangspasswort, sondern der letztlich zur Anwendung kommende Schlüssel.
Solange es rein um eine Authentifizierung geht, kommt man rein mit den von Dir beschriebenen Zero Knowledge Techniken durch. Geht es aber ums wieder rekonstruierbare Speichern von Daten (und um die geht es bei FileVault, TrueCrypt und den hier diskutierten Schwächen), dann kannst Du zwar komplizierteste Zero Knowledge Techniken vorschalten, Du kommst in meinen Augen aber letztlich nicht umhin, einen Schritt mit symmetrischer Verschlüsselung drin zu haben. Und der für diesen Schritt verwendete Schlüssel muss vom System aufgrund der von ihm gespeicherten Daten rekonstruiert werden können. Und zwar so lange, wie auch die Daten ohne erneute Eingabe eines Passwortes zugänglich bleiben, bei z.B. FileVault also während der ganzen Session. (Und was das System kann, dass kann auch ein Angreifer. Davon muss man ausgehen.)

(Edit) Oder noch etwas anders ausgedrückt:
Bei der (zugegebenermassen) schwachen Umsetzung von Apple kommt man ans Ausgangspasswort und an die verschlüsselten Daten. Wäre die Sache von Apple korrekter implementiert, käme man nicht ans Ausgangspasswort aber trotzdem an die verschlüsselten Daten. Und um letztere geht es doch eigentlich.
In der jetzt angezettelten Empörung mokiert man sich (natürlich nicht wirklich zu Unrecht) darüber, dass das Ausgangspasswort nicht sicher behandelt wird. Man ignoriert dabei aber völlig, dass man eigentlich über einen völligen Nebenschauplatz ohne jegliche tatsächliche Auswirkung auf die Datensicherheit diskutiert. Solange die Daten dem am Computer Sitzenden zugänglich sind, sind sie dem am Computer Sitzenden zugänglich. Sei dieser am Computer Sitzende nun der rechtmässige Inhaber oder jemand anderes.

[radneuerfinder]

Mit dem Ausgangspasswort kommt man, mit guter Chance sogar unbemerkt, an alle im Schlüsselbund gespeicherten Passwörter. Wie geht das jetzt ohne Ausgangspasswort? Bitte noch mal erklären, oder verstehe ich "ohne jegliche tatsächliche Auswirkung auf die Datensicherheit diskutiert" falsch?

[warlord]

Mit dem Ausgangspasswort kommt man an alle im Schlüsselbund gespeicherten Passwörter.

Ja das stimmt. In dem Bereich hätte die Vermeidung von Apples Fehler wohl etwas mehr Datensicherheit gebracht. Zumindest dann, wenn der betreffende Schlüsselbund nicht mehr offen gewesen wäre.

Allerdings geht ein Benutzer von Ein-Passwort-für-viele-Passwörter-Technologien wie dem Schlüsselbund natürlich aus Bequemlichkeit explizit und absichtlich das Risiko ein, dass beim Auffliegen des einen Passwortes alle Passwörter aufgeflogen sind. Wenn man das dann sogar noch mit dem Login-Schlüsselbund tut, dann umso schlimmer.

Nochmal, ich will nicht sagen, Apple hätte keine Fehler gemacht. Bewahre. Ich habe Apple bezüglich Sicherheit noch nie getraut und werde das auch nie. Ich will Apple hier auch nicht verteidigen. Ich will nur sagen, dass ein Grossteil der Sicherheit, über deren Fehlen man sich jetzt empört, gar nie vorhanden gewesen sein konnte. Auch dann nicht, wenn Apple keine Fehler gemacht hätte.

[radneuerfinder]

Was ist denn das schon wieder:
http://www.heise.de/newsticker/meldung/104543/