Test Test: Corsair Flash Padlock 2

[Chippo]

Verstanden habe ich denn Bericht schon, aber für mich klang das immer noch zu viel nach Werbung für Ironkey-Produkte. Was ja eigentlich auch OK ist, ich meine was hilft einen ein (tatsächlich gutes) Produkt auf denn Markt zu bringen, wenn es keiner kennt und niemand kauft^^ Nur die ganze Aufmachung und das offensichtliche Ziel der ganzen Aktion hat mich halt sehr gestört. Ich bin da doch ziemlich empfindlich.

Jedenfalls falls du zufrieden mit deinem Ironkey bist red ich dir bestimmt nicht dazwischen
Wozu brauchst du eigentlich denn Stick. Bist du viel auf Reisen? Vielleicht auch geschäftlich?

 

[Sukrim]

@NamenIos: die Frage ist, wieviel man mit diesem Dump tatsächlich anfangen kann. AES per Brutforce kann sich hinziehen und so einfach wie man bei dem Stick die PIN Ändern kann ist diese nicht Teil des Schlüssels (und selbst wenn doch hat man doch hoffentlich an ein Salt gedacht).

Selbst mit Salt sind gerade mal knappe 10 Millionen mögliche Keys eher ein Witz, ein moderner PC sollte die in 0 Komma nix durchprobiert haben. Salt schützt ja nur vor vorberechneten Key-Value Paaren und ist ein offenes Geheimnis, wird also üblicherweise einfach offen präsentiert.

 

[NamenIos]

@Jesterfox
Die Idee, dass der Controller bei jedem Reset einen zufälligen 256bit (naja bei AES sollte 128 reichen/besser sein) Schlüssel generiert und diesen für die Verschlüsselung nutzt ist gut. Dafür spricht natürlich, dass beim Pinreset alle Daten gelöscht werden. Wenn das der Fall ist müsste schauen wo das ganze gespeichert ist und könnte das unter Umständen auslesen, motvierende Überlegungen, da möchte man sich fast einen kaufen.

Ich bin bisher (wohl fälschlich) davon ausgegangen, dass einfach der Pin als Schlüsselwort genommen wird.

Das könnte man dann tatsächlich recht sicher aufbauen. Würde mich mal interessieren wie der Stick aufgebaut ist. Hat jemand Detailbilder von Innen? Ist gut möglich, dass der Stick einen FPGA für AES hat und das im eeprom für den FPGA auch der Key gespeichert wird. Dann würde das schon wieder interessant.
Wenn man die Versuchszeit resetten kann (was mit Akku wohl der Fall sein wird) könnte man sich bestimmt ein Bruteforce Programm auf einen µC erstellen. Das wäre aber recht aufwendig.

Hat jemand mal 40€?

 

[Jesterfox]

Ich bin bisher (wohl fälschlich) davon ausgegangen, dass einfach der Pin als Schlüsselwort genommen wird.

Dagegen spricht, dass man die PIN ändern kann. Wenn diese der Schlüssel (oder auch nur ein Teil davon, man könnte ja ein Salt benutzen um es sicherer zu machen) wäre müsste man ja alle Daten neu verschlüsseln.

Der Rest war mein Gedankengang, wie ich einen solchen Stick bauen würde. Man müsste noch den Timer für die Sperre irgendwie im internen EEPROM mit unterbringen, dann könnte man diese nicht durch Trennen der Versorgungsspannung umgehen.