可以轻松破解自加密的SSD

‘他们将钥匙放在保险箱下的钥匙”

更新荷兰安全研究人员发现，多个固态驱动器（SSD）中的硬件加密很容易被绕开。

荷兰Radboud University的研究人员发现，从关键的驱动器（Micron Technologies的消费者存储品牌）和三星都可能被黑客入侵，以访问驱动器的内容，而无需了解用户选择的密码，却可能会访问驱动器的内容。

至关重要和三星的内部和外部固态驱动器都受到安全缺点的影响。

可以在不输入密码的情况下解密驱动器的内容，但只有在黑客可以进行物理访问目标（脆弱）设备的情况下。

受影响的产品 - 由研究人员确认为脆弱 - 包括至关重要的（Micron）MX100，MX200和MX300内部硬盘；三星T3和T5 USB外部磁盘；和三星840 EVO和850个EVO内部硬盘。

来自其他供应商的基于硬件的全盘加密也可能受到影响，但这尚未进行测试。

研究人员 - 卡洛·梅耶尔（Carlo Meijer）和伯纳德·范·加斯特尔（Bernard Van Gastel） - 使用公开访问的信息，多种模型的SSD，大约100欧元（115美元）的计算机设备和大量精明的计算机技能，发现了各种严重的安全问题。

计算机科学家能够恢复主密码，这些密码在不访问用户选择的密码的情况下可以访问加密数据，这是由于受影响套件的TCG蛋白石加密标准的植入不良，以及其他问题。

范·加斯特尔（Van Gastel）告诉每日swbeplay2018官网ig研究人员发现了“多个问题”。

他解释说：“缺少用户密码与加密磁盘的键之间的密码链接是最容易解释的磁盘。”“另一个是管理部门的磨损偏离，使得可以通过未加密的磁盘密钥（工厂默认值）检索较旧的块。”

某些受影响的设备具有出厂设置的主密码，而另一些设备则在硬盘驱动器上持有加密密钥，从那里可以收获并随后被滥用。

“基本上，我们发现他们把钥匙放在了保险箱下，”范·加斯特（Van Gastel）开玩笑说Twitter更新与他的研究有关。

解决方法

与更多依赖Mac或Linux桌面的公司相比，Windows商店更容易受到问题的影响。

Microsoft Windows中内置的加密软件Bitlocker，如果SSD对其进行了广告支持，则依靠基于硬件的全盘加密。因此，受影响的SSD的用户也碰巧运行了窗口，默认情况下没有有效的保护。

研究人员报告说：“如果不执行此开关，则内置在其他操作系统（例如MACOS，iOS，Android和Linux）中的软件加密似乎不会受到影响。”

Bitlocker是否依赖硬件加密或软件加密是通过组策略设置的。对于依靠受影响产品的企业，默认设置更喜欢基于硬件的加密，以强制软件加密。这只是一个临时的解决方法，而不是适当的解决方案。

研究人员解释说：“这种变化并不能立即解决问题，因为它没有重新加入现有数据。”“只有一个全新的安装，包括重新格式化内部驱动器，才能强制执行软件加密。”

安全专家（例如密码师Matthew Green）是印象深刻由微软的设计决定。

硬真理

研究人员的发现（PDF）破坏了基于硬件的加密比基于软件的加密提供了优越的保护的传统观念。

建议业务和消费者不要单独依靠硬件加密，而要添加软件加密，例如免费和开源Veracrypt软件包或类似替代方案，以保护其数据。

计算机科学家周一公开了他们的发现（部分并省略了任何概念证明的利用） - 在4月，受影响的供应商（通过荷兰国家网络安全中心）通报了整整六个月。

美国证书推出了咨询在周二的研究中，敦促企业审查初步供应商咨询。

NCCIC鼓励用户和管理员审查Microsoft的安全咨询Adv180028和三星客户通知有关三星SSD的更多信息，请参考供应商，以获取适当的补丁和建议。

Microsoft建议客户更改系统默认设置，以强制使用自动加密驱动器上的计算机上的软件加密。三星正在为依靠其SSD技术安装软件加密工具的企业提供建议，或者（在便携式驱动器的情况下）应用固件更新。

Micron Technologies（拥有关键品牌的公司）每日swbeplay2018官网ig它正在准备固件更新以解决该问题。它建议消费者在此期间使用基于软件的加密。

一位发言人说：“ Micron意识到Radboud大学研究人员的报告描述了至关重要的MX100，MX200和MX300产品的潜在安全脆弱性以及其他制造商的产品。”

“这种漏洞只能由具有物理访问，深度技术SSD知识和高级工程设备的人来利用。Micron建议基于软件的加密以提供针对这些漏洞的额外保护，还开发了固件更新，以解决在解决中漏洞的漏洞MX100，MX200和MX300产品。今天可以在Clucial.com上获得MX100和MX200固件更新，MX300固件将于2018年11月13日添加。

“ Micron致力于通过诚信和问责制开展业务，其中包括提供一流的产品质量，安全性和客户支持。”

本文已更新以添加Micron（Comitial）的评论。