陈奇网络工作室

严重漏洞:Bitlocker是摆设很多SSD硬件加密可以绕过

建设工作站服务器

荷兰拉德堡大学的两名研究人员日前发表论文,阐述了固态硬盘热门加密软件Bitlocker的重要漏洞。 固态硬盘需要密码来加密和解密存储的内容,但可以绕过密码。 荷兰拉德堡大学的两名研究人员日前发表论文,阐述了固态硬盘热门加密软件Bitlocker的重要漏洞。 固态硬盘需要密码来加密和解密存储的内容,但可以绕过密码。 固态硬盘( SSD )中使用的加密系统漏洞可被黑客轻松用于解密数据,只要他们能够访问设备即可。

固态硬盘使用存储的密钥加密和解密存储的内容,但问题是无法从用户密码中导出用于加密和解密数据的密钥。 这意味着,只要可以获得硬盘,通过调试端口重新编程,就可以重置任何密码。 没错,SSD的加密设计如此无语。 两名研究人员测试了三台英国涡轮增压机( Crucial )和四台三星SSD,发现无法免疫这些攻击。 这些SSD都试图实现TCG Opal加密标准,但明显没有成功。 据研究人员分析,多个固态硬盘的加密完全被绕过,无需密钥或密码就可以完全恢复数据。 特别是,SSD无法将用户密码与实际的数据加密密钥( DEK )相关联,两者都存储在硬盘上。 固态硬盘的集成处理器和固件可以自由使用此DEK,但只有在收到正确的密码时才选择此选项。 如果固件通过调试端口重新编程或篡改,则可以跳过密码验证过程并直接使用DEK。 DEK实际上应该在一定程度上来自用户的密码。 没有密码就没有完整的钥匙。 但实际上,固态硬盘并不遵守这一原则。 除此之外,许多硬盘都使用一个DEK加密——,但这些硬盘为每个分区提供了不同的密码加密功能。 两位研究人员表示,将连接硬盘基板上的调试接口,修改固件中的密码匹配过程,允许硬盘在获取DEK以加密或解密设备之前接受任何密码在其他情况下,研究人员可以修改硬盘固件,或者利用代码注入漏洞获取密钥,该漏洞可以修改密码验证过程。 当然,这两种方法都需要攻击者能够物理访问硬盘。 论文中,研究人员表示,有办法保护这些硬盘。 那就是确保解密硬盘所需的秘密信息存储在硬盘本身以外的地方。 为此,请使用主机上运行的全面加密软件,在数据进入硬盘之前和之后,使用从用户提供的密码导出的密钥加密和解密数据。 论文给出的结果表明,仅靠SSD提供的硬件加密无法保证机密性。 依赖固态硬盘实现硬件加密的用户需要添加完整的加密软件解决方案。 开源和经过审计的是最佳选择。 遗憾的是,一些常见的数据加密系统(如Windows 10中的Bitlocker工具)依赖于硬盘本身脆弱的硬件加密,而不是固态硬盘的软甲加密保护。 密码学大师马特格林对此也没有保留他的意见。 老实说,微软信任这些设备以实现Bitlocker的行为是这家公司历史上最愚蠢的事情。 这更像是跳飞机,而不是撑着伞背上降落伞再跳。 在某些情况下,建议用户和管理员使用VeraCrypt等代替Bitlocker。 他们表示,VeraCrypt可以在操作系统运行时当场加密,可以与硬件加密共存。 即使可以通过调整组策略设置来支持硬件加密,Bitlocker用户也可以更改优先级以强制实施软件加密。 在发送到媒体的电子邮件中,两位研究人员中的一位写道,他们只测试了应用该体系结构的固态驱动器,因为他们只了解ARM体系结构。 尽管如此,TCG Opal标准也太难准确实现了。 这个规范的要求特别多,而且相当复杂。 简单的标准使供应商更容易实现,实现更安全。 从安全的角度来看,应该公开参考性的实现,让安全界审查其设计和实现。 这样,提供程序就可以方便地实现这些加密策略。 SSD硬件加密用户的典型建议是采取其他安全措施,例如安装VeraCrypt软件加密,而不完全依赖于当前的硬件加密技术。

此漏洞的论文地址: https://t.co/UGTsvnFv9Y TCG Opal加密标准地址: https://trustedcomputinggroup.org/resource/storage-work-group

详情请访问云服务器、域名注册、虚拟主机的问题,请访问西部数码代理商官方网站: www.chenqinet.cn

相关推荐

后台-系统设置-扩展变量-手机广告位-内容页底部广告位3