重大漏洞:Bitlocker成擺設,多款固態硬碟硬體加密均可被繞過
荷蘭拉德堡德大學的兩名研究人員日前發表論文,描述了固態硬碟流行加密軟體Bitlocker中的關鍵漏洞。固態硬碟需要口令來加密和解密其上儲存的內容,但該口令可以被繞過。 荷蘭拉德堡德大學的兩名研究人員日前發表論文,描述了固態硬碟流行加密軟體Bitlocker中的關鍵漏洞。固態硬碟需要口令來加密和解密其上儲存的內容,但該口令可以被繞過。只要能接觸到裝置,固態硬碟(SSD)所用加密系統中的漏洞可被黑客用於輕鬆解密資料。
固態硬碟會用其儲存的金鑰來加密和解密其上儲存的內容,但問題在於,用於加密和解密資料的金鑰不是從使用者的口令匯出的,也就是說,只要能拿到硬碟,通過除錯埠對其重程式設計,就可以重設任意口令。沒錯,固態硬碟的加密設計就是這麼令人無語。 兩名研究人員測試了3塊英睿達(Crucial)和4塊三星固態硬碟,發現它們或多或少都不能免疫上述攻擊。這幾款固態硬碟都試圖實現 TCG Opal 加密標準,但顯然未能成功。 研究人員分析發現多款固態硬碟的加密都能被完全繞過,不用任何金鑰或口令就能完整恢復出資料。尤其是,固態硬碟未能將使用者的口令與實際資料加密金鑰(DEK)相關聯,二者都儲存在硬碟上。固態硬碟的內建處理器和韌體都能自由使用該DEK,但只在接到正確口令的時候才選擇這麼做。如果韌體被人通過除錯埠重程式設計或加以篡改,就能跳過口令驗證環節直接使用DEK。 DEK其實應該在某種程度上出自使用者的口令。沒有口令,就沒有完整金鑰。但實際上,固態硬碟並沒有遵守這一原則。不僅如此,很多硬碟整顆盤都只用一個DEK加密——儘管這些硬碟提供不同分割槽使用不同口令加密的功能。 兩名研究人員表示,通過連線硬碟電路板上的除錯介面,修改韌體中的口令核對流程,使硬碟在獲取DEK以加密或解密裝置之前可以接受任意口令,他們成功解密了多款固態硬碟上的資料。 其他案例中,研究人員可以修改硬碟韌體,或利用可修改口令核驗流程的程式碼注入漏洞來獲取金鑰,當然,兩種方法都需要攻擊者能物理接觸到硬碟。 在論文中,研究人員表示,有方法可以保護這些硬碟,那就是確保解密硬碟所需的祕密資訊儲存在硬碟本身以外的地方。使用執行在主機上的全盤加密軟體,並在資料進入硬碟之前和離開硬碟之後用從使用者提供的口令匯出的金鑰加密及解密資料,可以幫助達成這一目標。 論文中呈現的結果告訴我們,不能僅依靠固態硬碟提供的硬體加密來保證機密性。依賴固態硬碟實現硬體加密的使用者應再加一道全盤加密軟體解決方案,最好還是開源和經過審計的那種。 但不幸的是,某些流行資料加密系統,包括 Windows 10 中採用的Bitlocker工具,都沒有為固態硬碟採取軟甲加密防護,而是依賴硬碟本身脆弱的硬體加密。 密碼學大師 Matt Green 對此也沒有保留他的意見: 老實說,微軟信任這些裝置來實現Bitlocker的舉動,真心是這家公司史上最蠢。這就好像撐把雨傘就跳飛機而不是背好降落傘再跳一樣。 某些情況下,研究人員建議使用者和管理員試試採用VeraCrypt之類的東西替代Bitlocker。 他們稱:VeraCrypt可以在作業系統執行時就地加密,能與硬體加密共存。而且,即便通過調整組策略設定就可以支援硬體加密,Bitlocker使用者也可以修改偏好強制實施軟體加密。 在發給媒體的電子郵件中,兩名研究人員之一寫道: 因為只懂ARM架構,我們只測試了上述幾款應用此架構的固態硬碟。話雖如此,TCG Opal 標準也太難以正確實現了。該規範的要求特別多,而且相當複雜。 一個簡單點兒的標準可以讓供應商更好實現,也可以保證其實現更加安全。從安全形度上看,應該公開一個參考性質的實現,讓安全界審查其設計與實現。這樣一來,供應商也就方便實現這些加密策略了。 我們對固態硬碟硬體加密使用者的一般性建議是,不要完全依賴當前的硬體加密技術,應採取額外的安全保護措施,比如安裝VeraCrypt軟體加密。 關於該漏洞的論文地址: https://t.co/UGTsvnFv9Y TCG Opal 加密標準地址: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2284618/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- rk3568硬體開發筆記(第四篇 ) 固態硬碟電路設計筆記硬碟
- js繞過-前端加密繞過JS前端加密
- 領存工業級Z3 SAS固態硬碟硬體引數介紹硬碟
- Win10系統下怎麼使用BitLocker禁用硬體加密Win10加密
- 完了,這個硬體成精了,它竟然繞過了 CPU...
- 固態硬碟哪個牌子好 十大固態硬碟品牌介紹硬碟
- win10系統bitlocker加密怎麼解除 電腦硬碟提示bitlocker加密解除方法介紹Win10加密硬碟
- 固態硬碟儲存原理硬碟
- 換固態硬碟要重灌系統嗎 換固態硬碟重灌系統教程硬碟
- 聯想ThinkPad E430c 硬體升級指南:記憶體條與固態硬碟升級ThinkPad記憶體硬碟
- 各品牌值得買的SSD固態硬碟推薦 618買SSD固態硬碟必看硬碟
- SSD固態硬碟要分割槽嗎?不同容量SSD固態硬碟分割槽方案建議硬碟
- 固態硬碟天梯圖2022年4月最新 固態硬碟效能排行榜介紹硬碟
- 固態硬碟該怎麼選?高價效比的固態硬碟推薦,選它!硬碟
- SSD固態硬碟使用壽命檢測方法 固態硬碟怎麼測剩餘壽命?硬碟
- 買了固態硬碟後如何裝系統|新固態硬碟安裝系統的方法硬碟
- 固態硬碟是c盤還是d盤 一般固態硬碟是哪個盤硬碟
- 機械硬碟與固態硬碟的適用場景硬碟
- 固態硬碟與機械硬碟的概念與區別硬碟
- SSD固態硬碟要分割槽嗎?SSD固態硬碟分割槽與不分割槽的效能對比硬碟
- SSD固態硬碟是分割槽好還是不分割槽好?SSD固態硬碟使用注意事項硬碟
- 10款價效比高的240GB固態硬碟推薦 2018固態硬碟買哪個好?硬碟
- 教你如何快速識別好固態硬碟?硬碟
- 固態行動硬碟資料恢復硬碟資料恢復
- 聯想固態硬碟資料恢復硬碟資料恢復
- SSD NVME固態 硬碟 資料恢復硬碟資料恢復
- Bios開啟CSM識別M.2固態硬碟方法 M.2固態硬碟無法識別?iOS硬碟
- Win10如何開啟BitLocker軟體加密 win10開啟BitLocker加密的步驟Win10加密
- win10系統下bitlocker給硬碟加密後怎麼解鎖Win10硬碟加密
- NVMe M.2 SSD固態硬碟選購知識 買M.2 NVME固態硬碟要注意什麼?硬碟
- SSD固態硬碟會成為專業全景相機的主流標配嗎硬碟
- 如何檢測機械硬碟和固態硬碟的健康狀況?硬碟
- SSD固態硬碟檢測工具:SSDReporter mac版硬碟Mac
- win10固態硬碟怎麼4k對齊_win10固態硬碟4k對齊教程Win10硬碟
- 網站漏洞檢測解析繞過上傳漏洞網站
- 檔案包含漏洞(繞過姿勢)
- 棧溢位漏洞利用(繞過ASLR)
- windows怎麼檢視是否是固態硬碟還是機械硬碟Windows硬碟