IntegriKey – Sicherheit für Ihre Eingabedaten
Würden Sie von einem Internetcafé aus auf Ihr Bankkonto zugreifen? Zu riskant? ETH Forscher Aritra Dhar erklärt, wie sichergestellt werden kann, dass die Nachricht, die Sie senden, auch die Nachricht ist, die ankommt – selbst in einer unsicheren Umgebung.
Was ist das Problem bei der Nutzung öffentlicher Computer für die Datenübertragung?
Nutzer von öffentlichen Computern haben nur wenig Kontrolle über ihre Umgebung. Der Hostcomputer könnte mit einem Virus infiziert sein, und jemand könnte das öffentliche WLAN ausspionieren. IntegriKey schafft eine sichere Insel in einer potenziell unsicheren Umgebung und sorgt dafür, dass wenn Sie auf der Tastatur den Buchstaben „A“ eingeben, am anderen Ende – z. B. bei Ihrer Bank – auch ein „A“ ankommt. Niemand kann Ihre Eingabedaten manipulieren.
Wie funktioniert IntegriKey?
IntegriKey ist ein eingebettetes Gerät, das zwischen die Tastatur und den nicht vertrauenswürdigen Hostcomputer geschaltet wird (siehe Abb. 1). IntegriKey nutzt eine Zwei-Faktor-Authentifizierung für Eingabedaten. Sie kennen die Zwei-Faktor-Authentifizierung vielleicht von Ihrer Bank, bei der Sie zuerst nach Ihrem Benutzernamen und Ihrem Passwort gefragt werden und anschliessend eine Zertifizierung über ein zweites Gerät in Form einer PIN von einer Smartphone-App erfolgt. Für IntegriKey nutzen wir ein ähnliches Konzept, bei dem IntegriKey den zweiten Faktor bereitstellt.
Wie sicher ist IntegriKey?
Erstens ist IntegriKey wie ein physischer Schlüssel, den man nicht aus der Hand geben sollte, denn er trägt Ihre Client-Identität. Man steckt ihn bei Bedarf ein und nimmt ihn nach Gebrauch wieder mit. Zweitens kann IntegriKey als eingebettetes Gerät nicht gehackt werden. Es besteht aus wenigen Komponenten und ist mit weniger als 2.000 Programmzeilen programmiert. Im Grunde genommen gibt es nichts, was ein Hacker sabotieren kann.
Was sind typische Anwendungsbereiche?
Betrug im Online-Banking ist ein Beispiel. Wir glauben jedoch, dass IntegriKey eine noch stärkere Wirkung in Bereichen haben wird, in denen böswillige Veränderungen von Eingabeparametern physischen Schaden verursachen können. In der Fertigungsindustrie können z. B. Veränderungen an einem Prozessparameter zu irreversiblen Schäden an Maschinen führen. Eine Turbine könnte zu schnell laufen oder ein Reaktor überhitzen. IntegriKey ist in der Lage, SPS-Befehle (speicherprogrammierbare Steuerung) zu schützen, die sicherheitskritische Anlagen steuern. Ein weiteres Beispiel ist der wachsende Bereich der medizinischen Online-Dienste. Ärzte wollen sicher sein, dass ihre Patientendaten korrekt übertragen werden. Man stelle sich nur die Folgen einer verfälschten Eingabe für einen Herzschrittmacher vor!
IntegriKey ist ein neues Produkt zur Realisierung von Sicherheitsmerkmalen in einem hochgradig unsicheren Szenario. Zurzeit befindet sich kein vergleichbares Produkt auf dem Markt. Daher wäre es interessant, IntegriKey zusammen mit einem Industriepartner für eine bestimmte Anwendung zu optimieren und anzupassen. Wenn Sie interessiert sind, wenden Sie sich gerne an uns!
Kontakt / Links:
System Security Group Professor Srdjan Capkun
Technologie zum Patent angemeldet, Ref. 2017-147
Sind Sie interessiert an weiteren spannenden "News for Industry" Storys?
externe Seite Abonnieren Sie unseren Newsletter
externe Seite Folgen Sie uns auf LinkedIn
Suchen Sie Forschungspartner an der ETH Zürich?
Kontaktieren Sie ETH Industry Relations.