Die dynamische Koppelung von NXT-ID schützt Server vor Sicherheitsschwachstellen wie Heartbleed

Die NXT-ID Inc., ein Anbieter von biometrischen Authentifizierungslösung mit Schwerpunkt auf den wachsenden mobilen elektronischen Markt, hat heute verschiedene Lösungen vorgestellt, die durch eine patentierte dynamische Koppelung (Pairing) vor Schwachstellen wie Heartbleed OpenSSL wirkungsvoll schützen können.

“Die dynamische Koppelung ist ein wichtiger Bestandteil unserer MobileBio ® Produktlinie – einschließlich der Wocket ™ Lösungen” erklärt Gino Pereira, CEO von NXT-ID. “Unsere Lösungen authentisieren nicht nur den Nutzer, wenn sie/er auf seine privaten Informationen zugreifen will. Im Gegensatz zu anderen auf dem Markt befindlichen Lösungen schützen wir die sensiblen Daten auch durch umfangreiche, neuartige Verschlüsselungsmethoden.”

Für OpenSSL, einem weitverbreiteten Open Source Verschlüsselungsstandard, ist gerade eine der schwerwiegendsten Sicherheitsschwachstellen der jüngeren Geschichte bekannt geworden. In etwa die Hälfte aller bekannten Internettechnologien nutzt auf irgendeine Art und Weise den OpenSSL-Standard – ganz abgesehen von den verschiedenen Email-, Chat- und Applikationsdiensten für verschiedene Betriebssysteme. Die Sicherheitsschwachstelle zielt dabei auf einen Fehler in der “Heartbeat” Kommunikation von OpenSSL ab – wenn die Daten zwischen einen Gerät und einem Server ausgetauscht werden. Unter normalen Umständen kann ein Gerät nur eine ganz spezifische Datenmenge von einem Dienst anfragen. Aufgrund eines aktuellen Fehlers im OpenSSL Code kann allerdings mehr als die angefragte Datenmenge an ein Gerät zurückgesendet werden und so das Gerät viel mehr Daten empfangen, als die dafür erforderliche Autorisierung es im Normalfall zulassen würde.

Die dynamische Koppelung (dynamic pairing) von NXT-ID verwendet eine eigene Heartbeat-Methode. Im Gegensatz zu anderen Methoden wie OpenSSL erfolgt jede Datenanfrage dynamisch und basiert auf einem Risikoanalyse-Algorithmus, der von Natur aus jede Datenauthentifizierungsanfrage überprüft. Aufgrund seiner technischen Natur ändert sich die Authentifizierung bei einer dynamischen Koppelung mit jedem Zugriff – entsprechend können unautorisierte Daten gar nicht an ein bestimmtes Gerät gesendet werden. Durch die dynamische Koppelung werden Authentifizierung und IT-Sicherheit zusammengefügt – was den traditionellen Authentifizierungsmethoden wie SSL oder TLS fehlt und zu den aktuellen Schwachstellen führt.

Im Fall von Heartbleed greift ein Hacker Daten von einem – wie zumindest der Server meint – sicheren Datenkanal ab. Der Hacker nutzt dann den “sicheren” Datenkanal, um immer mehr Daten auf dem Server zu suchen und abzufragen. Beim Einsatz der dynamischen Koppelung bestimmt die Art der Authentifizierungsanfrage den Vertrauenswert, den ein Server einer ankommenden Anfrage zuordnet. Wenn ein Server eine dynamische Koppelung verwendet, bei denen die Verbindungen jeweils erneut auf Basis von dynamischen Authentifizierungsschwellwerten verschlüsselt werden, dann könnte ein Server gar nicht für eine Attacke wie Heartbleed anfällig sein.

Über die NXT-ID Inc. – Mobile Sicherheit für eine mobile Welt
Die innovative MobileBio ™ Lösung der NXT-ID Inc. minimiert die Risiken der Kunden beim Mobile Computing, M-Commerce und beim Einsatz von portablen Geräten mit den verschiedensten Betriebssystemen. Das Unternehmen hat sich auf den wachsenden M-Commerce Markt fokussiert. Die innovative MobileBio ™ Produktgruppe biometrischer Lösungen wird von der Wocket ™ Lösung angeführt – eine “elektronische Brieftasche” mit dem Ziel, alle (Kredit-)Karten in der Geldbörse abgesichert zu ersetzen. Wocket kann überall da eingesetzt werden, wo auch (Kredit-)Karten eingesetzt werden. Für jeden Zugriff auf die gespeicherten Informationen ist eine biometrische Authentifizierung durch den Nutzer notwendig. Weitere Informationen unter http://www.thewocket.com/, http://www.wocketwallet.com/

Forward-Looking Statements for NXT-ID
This press release contains forward-looking statements within the meaning of the Private Securities Litigation Reform Act of 1995. Forward-looking statements reflect management’s current expectations, as of the date of this press release, and involve certain risks and uncertainties. Forward-looking statements include statements herein with respect to the successful execution of the Company’s business strategy. The Company’s actual results could differ materially from those anticipated in these forward- looking statements as a result of various factors. Such risks and uncertainties include, among other things, our ability to establish and maintain the proprietary nature of our technology through the patent process, as well as our ability to possibly license from others patents and patent applications necessary to develop products; the availability of financing; the Company’s ability to implement its long range business plan for various applications of its technology; the Company’s ability to enter into agreements with any necessary marketing and/or distribution partners; the impact of competition, the obtaining and maintenance of any necessary regulatory clearances applicable to applications of the Company’s technology; and management of growth and other risks and uncertainties that may be detailed from time to time in the Company’s reports filed with the Securities and Exchange Commission.