Experte: Storage-Systeme von Archivas und EMC sind undicht

Nach Angaben des US-Sicherheitsexperten Dan Kaminsky ist der Verschlüsselungsalgorithmus MD5 undicht. MD5 wird für die Daten-Verschlüsselung bei ‘Content Adressed Storage’ (CAS) eingesetzt. Diese Disk-basierten Back-up-Systeme werden von Archivas, EMC und Permabit hergestellt. Auch Sun entwickelt ein CAS, genannt ‘Honeycomb‘, teilte bislang jedoch nicht mit, welche Verschlüsselung zum Einsatz kommen soll.
Archivas und EMC setzen MD5 ein, Permabit nicht. “Es ist jetzt wirklich Zeit für die Industrie, mit MD5 zu brechen”, so Dan Kaminsky, Security Consultant bei dem Netzwerkunternehmen Avaya, in US-Medien. Experten warnen demnach schon seit zehn Jahren vor dem Algorithmus. Das ‘National Institute of Standards and Technology’ habe MD5 bereits 1998 dezertifiziert. Kaminsky: “Die Industrie hat jedoch an dieser Verschlüsselung festgehalten, teils aus Trägheit, teils aus einem Mangel an Rechenleistung.”

Nach Angaben von Kaminsky kann ein Angreifer mit demselben MD5-Algorithmus zwei Dateien entwickeln – eine mit ‘gutartigen’ Daten und eine mit ‘bösartigen’ Daten. Werden beide Dateien auf einem System gespeichert, könne das zu einer ‘Daten-Kollision’ führen. Die Folge seien ein Datenverlust oder eine Ausbreitung der bösartigen Daten.

Derweil hieß es von EMC, das CAS ‘Centera’ sei von der MD5-Lücke nicht betroffen. Wenn Inhalte gespeichert seien, sei es nicht mehr möglich, diese zu ändern, so Mike Killian, CTO von EMC. Verschiedene Adressierungs-Schemata schützten das System vor Versuchen, kollidierende MD5-Algorithmen zu schaffen. Datenkollisionen via MD5 seien sehr unwahrscheinlich.