炼数成金 门户 大数据 安全 查看内容

令人恐惧的固态硬盘:SSD 和 Bitlocker 加密机制被破解 !

2018-11-8 10:22| 发布者: 炼数成金_小数| 查看: 8096| 评论: 0|来自: 云头条

摘要: 面对愚蠢的设计,安全专家只有捂脸的份。热门固态硬盘(SSD)所使用的加密系统近日爆出根本性的漏洞,一旦不法分子将这种设备搞到手,钻漏洞的空子,就能轻松解密数据。荷兰拉德堡德大学的两名研究人员卡洛•梅 ...

存储 测试 安全 Hadoop 硬件

面对愚蠢的设计,安全专家只有捂脸的份。

热门固态硬盘(SSD)所使用的加密系统近日爆出根本性的漏洞,一旦不法分子将这种设备搞到手,钻漏洞的空子,就能轻松解密数据。

荷兰拉德堡德大学的两名研究人员卡洛•梅杰(Carlo Meijer)和伯纳德•范•加斯特尔(Bernard van Gastel)撰写的一篇论文(https://t.co/UGTsvnFv9Y)于今天公布,论文描述了这些严重的漏洞。结论是:固态硬盘需要密码来加密和解密其内容,但是可以绕过该密码,这让骗子和窥视者得以访问加密的数据。

大致上来说,用于加密和解密数据的加密密钥并不源自设备所有者(用户)的密码,这意味着,你拿到固态硬盘后,通过一个调试端口,可以对它重新编程,从而接受任何密码。之后,SSD将使用存储的密钥来加密和解密内容。就是这么愚蠢。

这两名研究人员测试了Crucial(美光旗下)的三款SSD和三星的四款SSD,发现它们或多或少容易受到上述攻击。所有这些SSD都试图安全地实施TCG Opal加密标准,但都失败了。

据研究人员表示:“这次分析揭露了多家供应商普遍存在严重的问题。就多款SSD而言,可以完全绕过加密机制,在不知道任何密码或密钥的情况下可以完全恢复数据。”

研究人员表示,尤其是,SSD无法将所有者的密码与实际的数据加密密钥(DEK)联系起来,两者都存储在SSD中。只要喜欢,SSD的内置处理器和固件可以随时使用DEK,但只有在提供正确的密码时才选择这么做。如果有人能够实际接触设备的调试端口,对硬件重新编程或做手脚,就可以跳过密码这一环,径直使用DEK。

实际上,DEK应该以某种方式源自所有者的口令短语(passphrase)。没有口令短语,就没有完整的密钥。而实际上,SSD会作弊。此外,许多SSD使用单单一个DEK用于整个闪存盘,即使它们可以使用不同密码来保护磁盘的不同部分。

实际上,拉德堡德大学的两名研究人员表示,他们只需要连接到SSD电路板上的调试接口,就可以解密多款SSD上的数据,还可以改动固件中的密码检查程序,访问DEK之前接受任何口令短语,以便加密或解密设备。

在其他情况下,研究人员可以通过这两种方法来获取密钥:一种方法是改动SSD的固件,另一种是钻代码注入漏洞的空子,该漏洞还让攻击者得以改动密码检查程序,这两种方法都需要将SSD搞到手。

SSD解密测试的结果

Crucial SSD和三星SSD的测试结果
研究人员在论文中表示,要保护这些设备,一种可行的方法是,确保解密SSD所需的秘密信息没有存储在设备本身上面。这可以通过使用全盘加密软件来实现,这种软件在主机上运行,在数据进入SSD之前和离开SSD之后加密和解密数据,使用源自用户提供的口令短语的密钥。

论文解释:“本论文给出的结果表明,人们不应该仅仅依赖SSD提供的硬件加密来确保机密性。我们建议依赖SSD中所用的硬件加密机制的用户还使用软件全盘加密解决方案,较好是经过审查的开源解决方案。”

而遗憾的是,这两名研究人员还特别指出,一些流行的数据加密系统(包括微软在Windows 10中使用的BitLocker工具)并不为SSD使用软件加密,而是依赖SSD易受攻击的硬件加密。


现在说真的:微软信任这些存储设备实施Bitlocker肯定是这家公司迄今做过的最愚蠢的一件事。这就好比拿着雨伞而不是背着降落伞从飞机上跳下来。

在这种情况下,梅杰和范•加斯特尔建议用户和管理员改而使用像VeraCrypt这样的软件加密解决方案。

“尤其是,VeraCrypt允许在操作系统运行时进行就地加密(in-place encryption),并且与硬件加密一起使用。此外,即使通过调整组策略(Group Policy)设置来支持硬件加密,BitLocker用户也应更改推荐项以强制执行软件加密。”

其中一位研究人员伯纳德•范•加斯特尔在发给IT外媒The Register的电子邮件中告诉我们:

因限于我们的专业知识(比如这些SSD中所用的Arm架构方面的知识),我们只分析了上述几款SSD。话虽如此,使用的TCG Opal标准正确实施起来却很难。该规范有诸多要求,而且相当复杂。

一种更简单的标准将帮助供应商实施并使这些实施更安全。从安全的角度来看,应公开提供一种参考实施,那样安全界可以参考设计及其实施。这样一来,供应商更容易实施这些加密方案。

我们对使用SSD中硬件加密的所有用户给出的一般建议是,不仅仅要依赖目前提供的硬件加密,还要采取另外的措施,比如安装VeraCrypt软件加密解决方案。

论文全文:


声明:文章收集于网络,如有侵权,请联系小编及时处理,谢谢!

欢迎加入本站公开兴趣群
软件开发技术群
兴趣范围包括:Java,C/C++,Python,PHP,Ruby,shell等各种语言开发经验交流,各种框架使用,外包项目机会,学习、培训、跳槽等交流
QQ群:26931708

Hadoop源代码研究群
兴趣范围包括:Hadoop源代码解读,改进,优化,分布式系统场景定制,与Hadoop有关的各种开源项目,总之就是玩转Hadoop
QQ群:288410967 

鲜花
1

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

热门频道

  • 大数据
  • 商业智能
  • 量化投资
  • 科学探索
  • 创业

即将开课

 

GMT+8, 2018-11-20 08:14 , Processed in 0.159677 second(s), 25 queries .