Hvorfor krypteringen på SSD-en din i Windows 10 kan mislykkes

Microsoft BitLocker: Innebygd kryptering for Windows-PCen Microsoft har et eget innebygd diskkrypteringsverktøy, men ikke alle Windows-PCer har BitLocker installert på dem.

Maskinvare-krypteringsfunksjoner er ofte høysendte salgssteder for solid state-stasjoner (SSD) som markedsføres mot bedriftsbrukere, og i økende grad mot gjennomsnittlige forbrukere, ettersom bekymringene for datasikkerhet og identitetstyveri øker. Disse selvkrypterende stasjonene (SED-er) inneholder en dedikert AES-koprocessor som utelukkende brukes til å håndtere stasjonskryptering. Dette har det doble formålet å isolere krypteringsoppgaver fra andre stasjonsoperasjoner for økt sikkerhet, samt eliminere overhead fra enten hovedstasjonskontrolleren eller system CPU, da ingen av dem har til oppgave å kryptere eller dekryptere data etter behov - effektivt å gjøre kryptering til en ressurs -nøytral drift.

Til tross for premien som SEDs befaler, mangler implementeringen deres alvorlig, som forskere ved Radboud University i Nederland avslørte i et papir som ble utgitt denne uken med tittelen "Selvkrypterende bedrag: svakheter i krypteringen av solid state-stasjoner." Forskerne har funnet at både "ATA-sikkerhet" og "Opal Storage Specification" for selvkrypterende stasjoner har materielle implementeringsfeil i SSD-firmware som er trivielle å utnytte, for å få tilgang til stasjonsinnhold.

For å gjøre vondt verre, antar Microsofts populære BitLocker-krypteringsprogramvare at krypteringsimplementeringen av SED-er er pålitelig. I disse tilfellene fungerer BitLocker som en frontend for maskinvarekryptering som finnes i disse stasjonene for å øke stasjonsytelsen, ettersom CPU-bruken som følger med programvarekryptering ikke er ubetydelig. Logisk sett er dette designvalget fornuftig, da det vil være rimelig å anta at maskinvareløsningen fungerer, snarere enn å prøve å kryptere data to ganger av en overflod av forsiktighet.

Denne oppførselen kan overstyres ved hjelp av en gruppepolitisk innstilling. I henhold til Microsofts veiledning for å konfigurere BitLocker for å håndheve programvarekryptering, for selvkrypterende stasjoner som opprinnelig ble kryptert ved hjelp av maskinvarekryptering, vil "bytte til programvarekryptering på den stasjonen kreve at stasjonen først blir ukryptert og deretter kryptert på nytt ved hjelp av programvarekryptering. " BitLocker er tilgjengelig for Pro- og Enterprise-utgavene av Windows 8.1 og 10, samt Enterprise og Ultimate-utgavene av Windows 7, selv om implementeringen i Windows 7 ikke utsetter maskinvarekryptering.

Mens forskerne bemerker at "riktig implementering av en maskinvare-FDE-ordning ikke er triviell, " ligger antallet implementeringsproblemer som ble oppdaget i de testede stasjonene til grunn for et naivt eller halvhjertet forsøk på å implementere kryptering på full disk. For Crucial MX100- og MX200-stasjonene er det mulig å bruke en JTAG-feilsøking for å omskrive stasjonsfastvaren, noe som gir datatilgang. Dette er en metode som er kjent for å brukes av offentlige etater for å infisere stasjoner. På samme måte klarer ikke begge stasjonene å binde stasjonspassordet til dekrypteringsnøkkelen, noe som gjør det mulig å låse opp uten kunnskap om stasjonspassordet. Mens MX300 har betydelige implementeringsforbedringer, kan hele stasjonen låses opp med et hovedpassord, som som standard er tomt. Samsungs 840 EVO og 850 EVO interne SSD-er, samt T3 og T5 eksterne SSD-er ble også funnet å være mangelfulle.

Forskerne konkluderer med at "Maskinvarekryptering for øyeblikket kommer med ulempen med å måtte stole på proprietære, ikke-offentlige, vanskelige å revidere kryptoordninger designet av produsentene sine. Å korrekt implementere diskkryptering er vanskelig, og konsekvensene av å gjøre feil er ofte katastrofale, og legger til at "Et mønster av kritiske problemer på tvers av leverandører indikerer at problemene ikke er tilfeldige, men strukturelle, og at vi kritisk bør vurdere om denne prosessen med standardteknikk faktisk er til fordel for sikkerhet, og hvis ikke, hvordan den kan forbedres."

Edit: En tidligere versjon av denne historien indikerte at brukere av BitLocker ville bli pålagt å formatere en kryptert stasjon når de bytter fra BitLocker-administrert maskinvarekryptering til programvarebasert kryptering når dette alternativet blir tvunget via gruppepolicyinnstillinger. Dette er korrigert med informasjon fra en Microsoft-rådgivning publisert etter denne artikkelen.

De store takeawayene for teknologiledere:

  • Vanskelige å implementere krypteringsordninger i selvkrypterende stasjoner gjøres sannsynligvis feil, noe som fører til en falsk følelse av sikkerhet.
  • BitLocker-brukere er ikke trygge, da programvarekrypteringsløsningen definerer mot maskinvarekryptering som standard når det oppdages. Dette kan endres i en gruppeinnstillingsinnstilling, men krever formatering av berørte stasjoner.

Tekniske nyheter du kan bruke nyhetsbrev

Vi leverer de nyeste teknologiske nyhetshistoriene om selskapene, menneskene og produktene som revolusjonerer planeten. Leveres daglig

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com