Společnost Microsoft vydává bezpečnostní doporučení týkající se hardwarového šifrování SSD

Společnost Microsoft nedávno vydala bezpečnostní doporučení (ADV180028) varování pro uživatele samošifrovaných disků SSD (SSD) pomocí Bitlocker šifrovací systémy.

Toto bezpečnostní poradenství přišlo poté, co dva bezpečnostní vědci z Nizozemska, Carlo Meijer a Bernard van Gastel, vydali návrh dokumentu popisujícího zranitelnosti, které objevili. Tady je abstrakt shrnutí problému:

Analyzovali jsme hardwarové šifrování celého disku několika SSD pomocí zpětného inženýrství jejich firmwaru. Teoreticky jsou bezpečnostní záruky poskytované hardwarovým šifrováním podobné nebo lepší než softwarové implementace. Ve skutečnosti jsme zjistili, že mnoho hardwarových implementací má kritické slabiny zabezpečení, protože mnoho modelů umožňuje úplné obnovení dat bez znalosti jakéhokoli tajemství.

Pokud jste příspěvek viděli, můžete si přečíst o všech různých zranitelnostech. Zaměřím se na dvě hlavní.

Zabezpečení hardwarového šifrování SSD

Microsoft věděl, že je problém s SSD. Takže v případě samošifrovaných SSD by Bitlocker umožnil

šifrování používané SSD k převzetí. U společnosti Microsoft to bohužel problém nevyřešilo. Více od Meijera a van Gastela:

BitLocker, šifrovací software zabudovaný do systému Microsoft Windows, se bude spoléhat výhradně na hardwarové šifrování celého disku, pokud na něj SSD inzeruje podporu. U těchto disků jsou tedy ohrožena také data chráněná nástrojem BitLocker.

Tato chyba zabezpečení znamená, že každý útočník, který si může přečíst uživatelskou příručku k SED, má přístup k hlavní heslo. Získáním přístupu k hlavnímu heslu mohou útočníci obejít heslo generované uživatelem a získat přístup k datům.

• PŘÍBUZNÝ: 4 nejlepší šifrovaný software pro sdílení souborů pro Windows 10

Opravte chyby zabezpečení hlavního hesla

Ve skutečnosti se tato chyba zabezpečení zdá být poměrně snadná. Za prvé, uživatel může nastavit své vlastní hlavní heslo, které nahradí heslo vygenerované prodejcem SED. Toto heslo generované uživatelem by poté nebylo přístupné útočníkovi.

Druhou možností se zdá být nastavení možnosti hlavního hesla na „maximum“, čímž se hlavní heslo úplně deaktivuje.

Bezpečnostní doporučení samozřejmě vychází z předpokladu, že průměrný uživatel věří, že SED by byl před útočníky v bezpečí, tak proč by kdokoli z těchto věcí dělal.

Uživatelská hesla a klíče pro šifrování disku

Další chybou zabezpečení je, že mezi heslem uživatele a šifrovacím klíčem disku (DEK) použitým k šifrování hesla neexistuje kryptografická vazba.

Jinými slovy, někdo by se mohl podívat do čipu SED, aby našel hodnoty DEK, a poté tyto hodnoty použít ke krádeži místních dat. V takovém případě by útočník nevyžadoval pro přístup k datům uživatelské heslo.

Existují i ​​další chyby zabezpečení, ale po vedení téměř všech ostatních vám pouze poskytnu odkaz na návrh papíru, a můžete si o nich přečíst všechny.

• PŘÍBUZNÝ: 6 z největších pevných disků SSD ke koupi v roce 2018

Ne všechny disky SSD mohou být ovlivněny

Rád bych však poukázal na dvě věci. Nejprve Meijer a van Gastel testovali pouze zlomek všech SSD. Proveďte průzkum svého disku SSD a zjistěte, zda může mít problém. Zde jsou disky SSD, které dva vědci testovali:

Útočníci potřebují místní přístup

Nezapomeňte, že to vyžaduje místní přístup k jednotce SSD, protože útočníci musí mít přístup k firmwaru a manipulovat s ním. To znamená, že váš disk SSD a data, která obsahuje, jsou teoreticky bezpečné.

To však neznamená, že s touto situací by se mělo zacházet lehce. Poslední slovo nechám na Meijerovi a van Gastelovi,

Tato [zpráva] zpochybňuje názor, že hardwarové šifrování je lepší než softwarové šifrování. Dospěli jsme k závěru, že bychom se neměli spoléhat pouze na hardwarové šifrování nabízené jednotkami SSD.

Moudrá slova opravdu.

Objevili jste neveřejnou jednotku SSD, která má stejný problém se zabezpečením? Dejte nám vědět v komentářích níže.

SOUVISEJÍCÍ PŘÍSTAVY K ODHLÁŠENÍ:

• 5 antivirových programů s nejvyšší mírou detekce k získání záludného malwaru
• Pro uživatele Outlook.com je nyní k dispozici šifrování typu end-to-end
• 5+ nejlepších bezpečnostních programů pro kryptoobchod k zabezpečení vaší peněženky