Microsoft SSD हार्डवेयर एन्क्रिप्शन पर सुरक्षा सलाह जारी करता है

बिटलॉकर एसएसडी एन्क्रिप्शन सुरक्षा मुद्दे

Microsoft ने हाल ही में एक सुरक्षा सलाह जारी की है (एडीवी180028) स्व-एन्क्रिप्टेड सॉलिड स्टेट ड्राइव्स (SSDs) का उपयोग करने वाले उपयोगकर्ताओं के लिए चेतावनी BitLocker एन्क्रिप्शन सिस्टम।

यह सुरक्षा सलाह नीदरलैंड के दो सुरक्षा शोधकर्ताओं कार्लो मीजर और बर्नार्ड वैन गैस्टेल द्वारा खोजी गई कमजोरियों को रेखांकित करते हुए एक मसौदा पत्र जारी करने के बाद आई है। यहाँ सार है समस्या का सारांश:

हमने कई एसएसडी के हार्डवेयर पूर्ण-डिस्क एन्क्रिप्शन का विश्लेषण उनके फर्मवेयर को रिवर्स इंजीनियरिंग द्वारा किया है। सिद्धांत रूप में, हार्डवेयर एन्क्रिप्शन द्वारा दी जाने वाली सुरक्षा गारंटी सॉफ़्टवेयर कार्यान्वयन के समान या उससे बेहतर है। वास्तव में, हमने पाया कि कई हार्डवेयर कार्यान्वयन में महत्वपूर्ण सुरक्षा कमजोरियां हैं, कई मॉडलों के लिए बिना किसी रहस्य के ज्ञान के डेटा की पूर्ण पुनर्प्राप्ति की अनुमति देता है।

यदि आपने पेपर देखा है, तो आप सभी विभिन्न कमजोरियों के बारे में पढ़ सकते हैं। मैं दो मुख्य बातों पर ध्यान दूंगा।

एसएसडी हार्डवेयर एन्क्रिप्शन सुरक्षा

Microsoft जानता था कि SSDs में कोई समस्या है। तो स्व-एन्क्रिप्टेड एसएसडी के मामलों में, बिटलॉकर अनुमति देगा

एन्क्रिप्शन SSDs द्वारा अधिग्रहण करने के लिए उपयोग किया जाता है। दुर्भाग्य से, Microsoft के लिए, इसने समस्या का समाधान नहीं किया। मीजर और वैन गैस्टेल की अन्य फ़िल्में-टीवी शो:

बिटलॉकर, माइक्रोसॉफ्ट विंडोज में निर्मित एन्क्रिप्शन सॉफ्टवेयर विशेष रूप से हार्डवेयर पूर्ण-डिस्क एन्क्रिप्शन पर निर्भर करेगा यदि एसएसडी इसके लिए समर्थित विज्ञापन करता है। इस प्रकार, इन ड्राइवों के लिए, BitLocker द्वारा संरक्षित डेटा से भी समझौता किया जाता है।

एसएसडी पर सुरक्षा सलाह

भेद्यता का मतलब है कि कोई भी हमलावर जो एसईडी उपयोगकर्ता मैनुअल पढ़ सकता है, उस तक पहुंच सकता है मास्टर पासवर्ड. मास्टर पासवर्ड तक पहुंच प्राप्त करके, हमलावर उपयोगकर्ता द्वारा बनाए गए पासवर्ड को बायपास कर सकते हैं और डेटा तक पहुंच सकते हैं।

  • सम्बंधित: विंडोज 10 के लिए 4 सर्वश्रेष्ठ एन्क्रिप्टेड फाइल शेयरिंग सॉफ्टवेयर

मास्टर पासवर्ड कमजोरियों को ठीक करें

वास्तव में, इस भेद्यता को ठीक करना काफी आसान प्रतीत होगा। सबसे पहले, उपयोगकर्ता अपना स्वयं का मास्टर पासवर्ड सेट कर सकता है, जो एसईडी विक्रेता द्वारा उत्पन्न एक को बदल देता है। यह उपयोगकर्ता-जनित पासवर्ड तब हमलावर के लिए सुलभ नहीं होगा।

दूसरा विकल्प मास्टर पासवर्ड क्षमता को 'अधिकतम' पर सेट करना प्रतीत होता है, इस प्रकार मास्टर पासवर्ड को पूरी तरह से अक्षम कर देता है।

बेशक, सुरक्षा सलाह इस धारणा से आती है कि औसत उपयोगकर्ता का मानना ​​​​है कि एक SED हमलावरों से सुरक्षित रहेगा, इसलिए कोई भी इनमें से कोई भी काम क्यों करेगा।

उपयोगकर्ता पासवर्ड और डिस्क एन्क्रिप्शन कुंजी

एक और भेद्यता यह है कि उपयोगकर्ता पासवर्ड और पासवर्ड को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली डिस्क एन्क्रिप्शन कुंजी (DEK) के बीच कोई क्रिप्टोग्राफ़िक बंधन नहीं है।

दूसरे शब्दों में, कोई व्यक्ति DEK के मूल्यों को खोजने के लिए SED चिप के अंदर देख सकता है और फिर उन मूल्यों का उपयोग स्थानीय डेटा चोरी करने के लिए कर सकता है। इस मामले में, हमलावर को डेटा तक पहुंच प्राप्त करने के लिए उपयोगकर्ता पासवर्ड की आवश्यकता नहीं होगी।

अन्य कमजोरियां हैं, लेकिन बाकी सभी के नेतृत्व का अनुसरण करते हुए, मैं आपको इसका लिंक देने जा रहा हूं प्रारूप पत्र, और आप उन सभी के बारे में वहां पढ़ सकते हैं।

  • सम्बंधित: 2018 में खरीदने के लिए सबसे बड़ी SSD हार्ड ड्राइव में से 6

सभी एसएसडी प्रभावित नहीं हो सकते हैं

हालांकि, मैं दो बातें बताना चाहूंगा। सबसे पहले, Meijer और van Gastel ने केवल सभी SSD के एक अंश का परीक्षण किया। अपने एसएसडी का शोध करें और देखें कि क्या इसमें कोई समस्या हो सकती है। यहां एसएसडी हैं जिन्हें दो शोधकर्ताओं ने परीक्षण किया था:

एसएसडी पर सुरक्षा सलाह

हमलावरों को स्थानीय पहुंच की आवश्यकता है

यह भी ध्यान दें कि इसके लिए एसएसडी तक स्थानीय पहुंच की आवश्यकता होती है क्योंकि हमलावरों को फर्मवेयर तक पहुंचने और हेरफेर करने की आवश्यकता होती है। इसका मतलब है कि आपका एसएसडी और उसके पास मौजूद डेटा सैद्धांतिक रूप से सुरक्षित है।

ऐसा कहने के बाद, मेरा मतलब यह नहीं है कि इस स्थिति को हल्के में लिया जाना चाहिए। मैं आखिरी शब्द मीजेर और वैन गैस्टेल को छोड़ दूंगा,

यह [रिपोर्ट] इस दृष्टिकोण को चुनौती देता है कि सॉफ्टवेयर एन्क्रिप्शन पर हार्डवेयर एन्क्रिप्शन बेहतर है। हम यह निष्कर्ष निकालते हैं कि किसी को केवल एसएसडी द्वारा पेश किए गए हार्डवेयर एन्क्रिप्शन पर भरोसा नहीं करना चाहिए।

वास्तव में बुद्धिमान शब्द।

क्या आपने एक असूचीबद्ध SSD की खोज की है जिसमें समान सुरक्षा समस्या है? नीचे टिप्पणी करके हमें बताएं।

संबंधित पोस्ट चेक आउट करने के लिए:

  • स्नीकी मैलवेयर को पकड़ने के लिए उच्चतम डिटेक्शन रेट वाले 5 एंटीवायरस
  • एंड-टू-एंड एन्क्रिप्शन अब Outlook.com उपयोगकर्ताओं के लिए उपलब्ध है
  • अपने वॉलेट को सुरक्षित करने के लिए क्रिप्टो-ट्रेडिंग के लिए 5+ सर्वश्रेष्ठ सुरक्षा सॉफ्टवेयर
लोडिंग साइकिल में फंसी व्यू बिटलॉकर कीज को कैसे ठीक करें

लोडिंग साइकिल में फंसी व्यू बिटलॉकर कीज को कैसे ठीक करेंस्वास्थ्य लाभBit Locker

उन समाधानों की खोज करें जो दूसरों के लिए काम करते हैंहाल ही में, कई उपयोगकर्ताओं ने इसकी सूचना दी है बिटलॉकर कुंजियाँ देखें कुंजी को पुनः प्राप्त करने का प्रयास करते समय लोडिंग चक्र में फंस गया विक...

अधिक पढ़ें
4 आसान चरणों में बिटलॉकर रिकवरी कुंजी कैसे खोजें

4 आसान चरणों में बिटलॉकर रिकवरी कुंजी कैसे खोजेंBit Locker

आपकी खोई हुई कुंजी को पुनर्प्राप्त करने के लिए आपका Microsoft खाता आपका सबसे अच्छा दांव हैBitLocker एक एन्क्रिप्शन तकनीक है जिसका उपयोग Microsoft द्वारा आपके डेटा की सुरक्षा बढ़ाने के लिए किया जाता...

अधिक पढ़ें
पासवर्ड और रिकवरी कुंजी के बिना बिटलॉकर को अनलॉक करने के 3 तरीके

पासवर्ड और रिकवरी कुंजी के बिना बिटलॉकर को अनलॉक करने के 3 तरीकेBit Locker

अपने ड्राइव को फॉर्मेट करना ही एकमात्र तरीका हो सकता हैजब आप किसी ड्राइव पर BitLocker को सक्षम करते हैं, तो यह उस पर संग्रहीत सभी डेटा को एन्क्रिप्ट करता है, और डिक्रिप्शन कुंजी आपके कंप्यूटर पर एन...

अधिक पढ़ें