IntegriKey – Sicherheit für Ihre Eingabedaten

Würden Sie von einem Internetcafé aus auf Ihr Bankkonto zugreifen? Zu riskant? ETH Forscher Aritra Dhar erkl?rt, wie sichergestellt werden kann, dass die Nachricht, die Sie senden, auch die Nachricht ist, die ankommt – selbst in einer unsicheren Umgebung.

Schlüssel auf Tastatur

Was ist das Problem bei der Nutzung ?ffentlicher Computer für die Datenübertragung?

Nutzer von ?ffentlichen Computern haben nur wenig Kontrolle über ihre Umgebung. Der Hostcomputer k?nnte mit einem Virus infiziert sein, und jemand k?nnte das ?ffentliche WLAN ausspionieren. IntegriKey schafft eine sichere Insel in einer potenziell unsicheren Umgebung und sorgt dafür, dass wenn Sie auf der Tastatur den Buchstaben ?A“ eingeben, am anderen Ende – z. B. bei Ihrer Bank – auch ein ?A“ ankommt. Niemand kann Ihre Eingabedaten manipulieren.

Wie funktioniert IntegriKey?

IntegriKey ist ein eingebettetes Ger?t, das zwischen die Tastatur und den nicht vertrauenswürdigen Hostcomputer geschaltet wird (siehe Abb. 1). IntegriKey nutzt eine Zwei-Faktor-Authentifizierung für Eingabedaten. Sie kennen die Zwei-Faktor-Authentifizierung vielleicht von Ihrer Bank, bei der Sie zuerst nach Ihrem Benutzernamen und Ihrem Passwort gefragt werden und anschliessend eine Zertifizierung über ein zweites Ger?t in Form einer PIN von einer Smartphone-App erfolgt. Für IntegriKey nutzen wir ein ?hnliches Konzept, bei dem IntegriKey den zweiten Faktor bereitstellt.

IntegriKey-Prototyp
Abb. 1 IntegriKey-Prototyp zur Sicherung von Eingabedaten

Wie sicher ist IntegriKey?

Erstens ist IntegriKey wie ein physischer Schlüssel, den man nicht aus der Hand geben sollte, denn er tr?gt Ihre Client-Identit?t. Man steckt ihn bei Bedarf ein und nimmt ihn nach Gebrauch wieder mit. Zweitens kann IntegriKey als eingebettetes Ger?t nicht gehackt werden. Es besteht aus wenigen Komponenten und ist mit weniger als 2.000 Programmzeilen programmiert. Im Grunde genommen gibt es nichts, was ein Hacker sabotieren kann.

Was sind typische Anwendungsbereiche?

Betrug im Online-Banking ist ein Beispiel. Wir glauben jedoch, dass IntegriKey eine noch st?rkere Wirkung in Bereichen haben wird, in denen b?swillige Ver?nderungen von Eingabeparametern physischen Schaden verursachen k?nnen. In der Fertigungsindustrie k?nnen z. B. Ver?nderungen an einem Prozessparameter zu irreversiblen Sch?den an Maschinen führen. Eine Turbine k?nnte zu schnell laufen oder ein Reaktor überhitzen. IntegriKey ist in der Lage, SPS-Befehle (speicherprogrammierbare Steuerung) zu schützen, die sicherheitskritische Anlagen steuern. Ein weiteres Beispiel ist der wachsende Bereich der medizinischen Online-Dienste. ?rzte wollen sicher sein, dass ihre Patientendaten korrekt übertragen werden. Man stelle sich nur die Folgen einer verf?lschten Eingabe für einen Herzschrittmacher vor!

IntegriKey ist ein neues Produkt zur Realisierung von Sicherheitsmerkmalen in einem hochgradig unsicheren Szenario. Zurzeit befindet sich kein vergleichbares Produkt auf dem Markt. Daher w?re es interessant, IntegriKey zusammen mit einem Industriepartner für eine bestimmte Anwendung zu optimieren und anzupassen. Wenn Sie interessiert sind, wenden Sie sich gerne an uns!

Aritra Dhar
Aritra Dhar

Kontakt / Links:

System Security Group    Professor Srdjan Capkun

Technologie zum Patent angemeldet, Ref. 2017-147

Sind Sie interessiert an weiteren spannenden "News for Industry" Storys?

externe Seite Abonnieren Sie unseren Newsletter

externe Seite Folgen Sie uns auf LinkedIn

Suchen Sie Forschungspartner an der ETH Zürich? 

Kontaktieren Sie ETH Industry Relations.

JavaScript wurde auf Ihrem Browser deaktiviert