Vlákno názorů k článku Šifrování SSD lze prolomit, ani BitLocker není v bezpečí od BobTheBuilder - Ztraceno v překladu? "Výzkumníci si povšimli, že šifrovací klíče...
-
BobTheBuilderStříbrný podporovatelZtraceno v překladu?
"Výzkumníci si povšimli, že šifrovací klíče chránící data se neliší od hesla vlastníka. "
Podle odkazovaného článku ovšem je to jinak.
Heslo i DEK (Data Encryption Key) jsou uloženy na SSD a DEK není zakódován tím heslem (takže pro použití/odemknutí DEK heslo znát nemusíte). Stačí tedy na tom SSD změnit firmware tak, aby žádné heslo nevyžadoval a dekódování proběhne - tedy disk přečtete."Some SSDs fail to associate the owner’s password with the actual data encryption key (DEK), both secrets are stored in the drive. Normally the firmware on the storage use the DEK only after the owner has provided the correct password. Anyway, an attacker can reprogram the firmware to ignore the password and use the DEK."
-
NutTheRefurbisher (neregistrovaný)
Ano, tak trochu ztraceno v překladu.
Ve článku je poměrně dost nepřesností, ale jako upozornění na problém to docela funguje. Ale na druhou stranu i ta zpráva má pár poměrně výrazných chyb. Ani jedno zařízení, které popisují prostě není FIPS approved, jsou jen OPAL compliant a v tom je dost podstatný rozdíl. Druhá věc je že celý test zaměřili pouze na implikaci bezpečnosti Microsoft Bitlockerem, což je poměrně dost zavádějící, protože Microsoft se s ničím moc nepere. Chyby jsou u obou entit, jak u výrobců HW (úpravy firmware, otevřené funkce) tak i SW (a dělá si někdo vůbec iluze?). Ale Microsoft vede prim už jen tím, že si uživatel od Windows 8.1 v podstatě ani nemůže vybrat. Prostě spustí originál instalačku a má vymalováno. By default. Sranda by ještě byla pokud by se zjistilo že master klíč použitý pro definici vlastníka jednotky je univerzální. To by mne asi pobavilo nejvíc, ale rozhodně nepřekvapilo.
Možná bych mohl ještě napsat že TCG ještě do nedávna měla dceřinku, která na implikaci standardů TCG dohlížela a dokonce i vydávala podklady pro standardizaci a kontrolovala jejich plnění v praxi, ale to by tu firmu nesměl Microsoft utopit v krvi a potichu demontovat její vývoj (VSC).
I tak ale ve zprávě nenacházím základní informace o uvedených discích a pak ani revizích firmware, na kterých testy probíhaly. To by mne docela zajímalo, protože která z edic EVO má podobné problémy? Pak by mohla být zajímavá i varianta použít pro personalizaci disku jiný nástroj než Bitlocker. Microsoft prostě není jediný výrobce personalizace SED disku. Navíc se ve zprávě operuje se standardní historickou výtkou k OPAL standardu a tím je DEVSLP, jako by snad pravidlo, že na šifrovacích systémech se sleep režim prostě vypíná.
No a na závěr bych poopravil nadpis článku, protože technologie OPAL jako taková prolomena nebyla a v návrhu chyba nalezena taky nebyla. Problém je v implementaci technologie některými výrobci disků, navíc v kombinaci s Bitlockerem, který prostě za bezpečnostní nástroj považovat ani nelze. Nadpis by mohl znít spíš: Bitlocker čelí problémů s šifrovacím systémem TCG Opal na low-end discích Samsung a Crucial . Protože předjímat, že to je problém všech SSD disků standardu OPAL, si netroufají ani tvůrci zprávy. Nadruhou stranu Samsung i Crucial by se měli zamyslet nad tím co dělají. Některé informace ve zprávě považuji za celkem alarmující a to i za předpokladu že jde o disky, které prostě nejsou FIPS l2/l3 certified.
