Billigverschlüsselung

Angriff auf ein schwaches Kryptosystem

Christiane Rütten - 31.01.2009

Unsere bisherige Erfahrung mit Hardwareverschlüsselung hat gezeigt, dass billig nichts taugt. Leider machen Modelle der Staray-S-Serie von Raidon keine Ausnahme, denn vor ernsthaften Angriffen schützt sie kaum. Wie wir bei der Analyse vorgegangen sind, zeigt dieser Artikel.

Die Staray-S-Serie von Raidon bietet günstige Hardware-Verschlüsselung. Aus der USB-Festplattengehäuse-Serie Staray S des chinesischen Herstellers Raidon – in Europa häufig unter dem Markennamen Stardom anzutreffen – sticht insbesondere das Modell S325 hervor, das Dank des integrierten PIN-Pads unabhängig von PC-Software arbeitet. Es teilt eine 2.5-Zoll-SATA-Festplatte in zwei logische Hälften, die sich wie zwei virtuelle Festplatten inklusive Partitionstabellen verhalten, solange die Festplatte in dem USB-Gehäuse steckt. Alle Daten, die im geschützten Laufwerk und somit auf der zweiten Hälfte der physischen Festplatte landen, sind laut Hersteller verschlüsselt. Den geschützten Teil geben die Gehäuse nur frei, wenn der Anwender die richtige PIN eingibt.

Erstbegehung

Wie bei den meisten USB-Gehäusen mit Kryptofunktion gibt es auch bei Staray keinen physischen Zugangsschutz, sodass sich die Festplatte ausbauen, per SATA an ein PC-Mainboard anschließen und dann auch ohne PIN auslesen lässt. Gegen unbefugten Datenzugriff beim Verlust der USB-Platte schützt daher allein die Verschlüsselung. Wichtiger Punkt bei der Beurteilung einer solchen Verschlüsselungslösung ist daher die Sichtung der chiffrierten Daten auf dem Medium.

Es gibt zwar auch spezielle Windows-Programme für derartige Aufgaben, doch für uns ist das Tool der Wahl zum Auslesen und Schreiben von Festplattenblöcken das mächtige Linux-Kommandozeilenwerkzeug dd. Beispielsweise der Befehl

# dd if=/dev/sda bs=1K skip=1000 count=2 | hexdump -C

liest von der Festplatte /dev/sda bei einer Blockgröße von einem einem KByte die beiden Blöcke Nummer 1001 und 1002 aus und zeigt sie mittels hexdump in Hexadezimal- und ASCII-Darstellung an. Die Blockgröße von 1024 Byte ist typisch für die Adressierung von Festplattenblöcken. Für solche Arbeiten auf Blockebene benötigt man freilich Root-Rechte.

Zunächst haben wir mit einer bis auf die Partitionstabelle mit Nullen überschriebenen 500-GByte-Festplatte (kleiner ist für Analysezwecke in der Regel allerdings besser) die Funktionsweise des S325-Gehäuses erkundet. fdisk erkennt Folgendes:

# fdisk -l /dev/sda 

...
   Gerät  boot.     Anfang       Ende        Blöcke   Id     System
/dev/sda1          1     60801     488384001    c     W95 FAT32 (LBA)

Mit einer derart vorbereiteten Festplatte ist sicher: Wo nach dem Initialisierungsvorgang durch den Staray-Controller keine Nullen mehr stehen, hat der Controller Daten hinterlassen. Möglicherweise lagert er auch Verwaltungsinformationen auf der Festplatte aus, die unter Umständen Kryptoschlüssel und Passwörter enthalten – ein Umstand, der dem Staray S125 noch zum Verhängnis werden soll.

Doch unser S325 rödelt nach dem Einlegen der Festplatte erst einmal eine Weile herum, bis die beiden virtuellen Festplatten partitioniert und formatiert sind. Nach kurzem Trennen der USB-Verbindung erkennt der USB-Mass-Storage-Treiber von Linux auf unserem System ein neues Laufwerk /dev/sda, nach dem Entsperren per Default-PIN zusätzlich ein /dev/sdb.