Symmetrische Verschlüsselung contra Heartbleed und NSA-Skandal

Veröffentlicht am von

Warum durch ViPNet geschützte Daten nicht ausgespäht werden

Pressemeldung der Firma Infotecs Internet Security Software GmbH

.

– Heartbleed-Sicherheitslücke in OpenSSL und NSA-Skandal zeigen SSL-Angreifbarkeit

– Infotecs verzichtet auf SSL und präsentiert alternative Verschlüsselungslösung ViPNet VPN

Nach der NSA-Affäre entsteht erneut ein Security-Skandal aufgrund der Entdeckung einer schwerwiegenden Schwachstelle („Heartbleed-Bug“) in der freien Software OpenSSL, welche als Krypto-Bibliothek in vielen Lösungen zur Datenverschlüsselung verwendet wird. Infotecs bietet mit der ViPNet Technologie eine Alternative mit symmetrischem Schlüsselmanagement für den sicheren Datenaustausch.

Erst der NSA-Skandal, nun die Sicherheitslücke Heartbleed in OpenSSL – die Internet- und IT-Sicherheitsbranche gerät erneut ins Wanken. Themen, welche gewöhnlich die IT-Fachspezialisten interessieren, erscheinen in den Nachrichten für die breite Bevölkerung. Die Meldungen rund um die Gefährdung der IT-Sicherheit von virtuellen privaten Netzwerken, speziell von VPNs auf Basis von SSL (Secure Sockets Layer), häufen sich.

SSL (neuere Bezeichnung TLS – Transport Layer Security) bezeichnet ein Netzwerkprotokoll zur sicheren Übertragung von Daten im Internet und ist beispielsweise in der freien Software OpenSSL implementiert. Die Heartbleed-Sicherheitslücke in OpenSSL wurde erst kürzlich bekannt und stellt eine der schwerwiegendsten Schwachstellen dar, welche weitläufige Auswirkungen nach sich zieht. Durch den Heartbleed-Bug können Cyber-Kriminelle nicht nur Benutzerdaten und Passwörter ausspähen, auch der Datenaustausch aus der Vergangenheit kann nachträglich entschlüsselt werden. Weiterhin sind Man-in-the-Middle-Angriffe möglich [1] [2].

Andere Berichte zeigen, wie die NSA VPN-Verbindungen und VoIP-Gespräche knacken kann. Dabei handelt es sich um VPNs, welche ebenfalls auf SSL basieren. Vor allem der Internet-Key-Exchange (IKE) mit Public-Key-Infrastruktur (PKI) bietet potenzielle Angriffsziele [3]. Der US-Geheimdienst infizierte dazu Router in Internetknotenpunkten mit dem Programm Hammerstein, welches VPN-Daten abgriff und übermittelte [4].

Der High-Security-Anbieter Infotecs entwickelte noch vor Erscheinen der ersten Version von SSL die Verschlüsselungslösung ViPNet VPN auf Basis eines symmetrischen Schlüsselmanagements. Diese Art der Verschlüsselung konzentriert sich auf Punkt-zu-Punkt-Verbindungen, also die direkte Kommunikation zwischen den Endpunkten innerhalb des VPNs. Klassische VPN-Produkte mit IPSec (Internet Protocol Security) oder SSL im Einsatz verwenden hingegen asymmetrische Verschlüsselungsverfahren. Der Grundgedanke symmetrischer Verschlüsselung besteht darin, dass die Schlüssel zum Datenaustausch bereits vor der eigentlichen Kommunikation verteilt werden. Jedes Knotenpaar des privaten Netzwerks besitzt seinen eigenen separaten Schlüssel für den Informationsaustausch. Dieser Schlüssel selbst wird bei der Verschlüsselung jedoch nicht verwendet, stattdessen kommt eine Ableitung von ihm zum Einsatz. Dabei wird jedes neue ausgehende Paket im Netzwerk durch eine neue Schlüsselableitung verschlüsselt. Dank diesem Verfahren und weil ein Austausch von öffentlichen Schlüsseln und Zertifikaten über einen unsicheren Kanal bei ViPNet nicht notwendig ist, sind die Möglichkeiten für Angriffe wie z. B. Man-in-the-Middle grundsätzlich ausgeschlossen. Vor allem diese Angriffsform wird in der Kombination mit der Ausnutzung des Heartbleed-Bugs häufig von der NSA und Hackern verwendet, um Verschlüsselungs-mechanismen zu knacken, welche auf PKI basieren.

Unter https://www.infotecs.de/… kann die Security-Lösung ViPNet VPN heruntergeladen und 60 Tage lang kostenfrei ausprobiert werden. Die Testversion beinhaltet zwei Coordinatoren (Windows- und/oder Appliance-basiert) und insgesamt 10 Clients (Windows / Mac OS / Android / ThinClient). IT-Verantwortliche, welche nähere Details zum Thema symmetrische Verschlüsselung und ViPNet VPN erfahren möchten, können unter www.infotecs.de/whitepaper/ die kostenlosen Whitepaper herunterladen.

Weiterführende Informationen

[1] Wikipedia-Eintrag zur Heartbleed-Sicherheitslücke http://de.wikipedia.org/…

[2] News und Hintergründe zum Thema Heartbleed bei heise online http://www.heise.de/…

[3] „NSA-Affäre: Mit dem Hammer gegen VPN und Skype“, Golem.de, 12.03.2014 http://www.golem.de/…

[4] „How the NSA Plans to Infect ‚Millions‘ of Computers with Malware“, The Intercept, 12.03.2014 https://firstlook.org/…



Firmenkontakt und Herausgeber der Meldung:
Infotecs Internet Security Software GmbH
Oberwallstraße 24
10117 Berlin
Telefon: +49 (30) 2064366-0
Telefax: +49 (30) 2064366-66
http://www.infotecs.de

Ansprechpartner:
Anja Müller
Marketing & Kommunikation
+49 (30) 2064366-52

Infotecs entwickelt und vertreibt IT-Sicherheitslösungen, welche die Arbeit in Firmen flexibler, einfacher und vor allem sicherer als je zuvor machen. Seit der Gründung im Jahr 1991 durch drei anerkannte Kryptografen entwickelte sich das Unternehmen zu einem erfahrenen IT-Security-Spezialisten für VPN-Lösungen. Die von Infotecs in Pionierarbeit entwickelte ViPNet Technologie setzte einen Meilenstein in der Geschichte virtueller privater Netzwerke - noch vor Etablierung von IPSec als klassisches VPN-Protokoll. Allein in den letzten fünf Jahren konnten mithilfe von Lösungen des High-Security-Anbieters weit über 700.000 Netzwerkknoten sicher miteinander verbunden werden. Dabei wurden nützliche Erfahrungen gesammelt, reale Bedürfnisse erkannt und in die Entwicklung einbezogen, um die Software fortwährend zu verbessern und an die Wünsche der Anwender anzupassen. Weitere Informationen zum Unternehmen finden Sie unter www.infotecs.de.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.