Innovation von RSA – Schutz von Passwörtern durch verteilte Kryptographie

Es macht unheimlich viel Spass und es ist ungemein spannend, für RSA zu arbeiten. Das liegt vor allem auch daran, dass wir uns mit den wichtigsten aktuellen Themen und Problemstellungen bei unseren Kunden beschäftigen und durch Innovation aktiv die Entwicklung von Lösungen für diese Problemstellungen vorantreiben.

Ein Beispiel ist der Schutz von Identitäten, der durch die weite Verbreitung von Cloud-Anwendungen eine neue Bedeutung und auch höhere Wertigkeit erhalten hat. Passwörter sind hierbei ein notwendiges Übel und sind laut Studien auch eines der wichtigsten Ziele von Hackern. In dem Data Breach Investigations Report (DBIR) von Verizon aus dem Jahr 2011 wird klar festgestellt, dass die Ausnutzung von gestohlenen Credentials (Passwörtern) bei Angriffen den größten Anteil der unterschiedlichen Angriffsmethoden ausgemacht hat. Beispiele für bekannt gewordene Fälle von Passwortdiebstahl aus dem ersten Halbjahr 2012 sind weitere Indizien dafür, dass die Speicherorte von Passwörtern attraktive Ziele von Angreifern sind (siehe Abblidung 1).

Gängige Sicherungsmethoden für Passwörter wie Hashing oder auch Salted Hashing bieten keinen ausreichenden Schutz vor den hochentwickelten Angriffsmethoden und Rechenkapazitäten von professionellen Angreifern.

Für den erhöhten Schutz von Passwörtern hat RSA auf der RSA Konferenz im Oktober ein neues Produkt vorgestellt: DCP – Distributed Credential Protection. Das dem Produkt zugrunde liegende patentierte Verfahren basiert auf dem Prinzip für verteilte Kryptographie und wurde in den RSA Labs entwickelt. Dabei werden die Passwörter in zwei kryptographisch gesicherte Hälften aufgeteilt und jeweils an einem anderen Ort gespeichert. Die Überprüfung eines Passwortes während eines Logins erfordert hierbei nicht die Wiederherstellung des Passworts. Der Vorgang des Aufteilens des Passwortes wird nach Vorgaben, die der Nutzer einstellen kann, erneut durchgeführt. Es besteht auch jederzeit die Möglichkeit, die Neuaufteilung des Passworts manuell zu starten, beispielsweise bei Verdacht auf einen Angriff.

Das bedeutet nun, dass die Kompromittierung eines Speicherortes nicht in der Kompromittierung von Passwörtern resultiert. Selbst die Kompromittierung von beiden Speicherorten führt nur dann zu einem Verlust der Passwörter, wenn die Angriffe auf beide Server zeitgleich erfolgreich sind.

Dieses Produkt muss natürlich in die Sicherheitsprozesse der Unternehmen entsprechend integriert werden, ist dann aber für den Nutzer vollkommen transparent. Man bekommt somit einen deutlich größeren Schutz der Passwörter, ohne seine Anwendungen und Login-Prozesse verändern zu müssen.

Ich glaube, mit DCP sehen wir einen ersten Schritt, verteilte Kryptographie zum Schutz von wertvollen Unternehmenswerten einzusetzen. In einem Report von Frost & Sullivan: Split to Secure – Moving forward with Distributed Cryptography wird das Verfahren übersichtlich erläutert und auch einige Perspektiven für den Schutz von sensiblen und werthaltigen Unternehmensdaten aufgezeigt; und ich bin mir ziemlich sicher: RSA wird dieses durch Innovationen begleiten.