бэкдор

Почему нельзя доверять аппаратному шифрованию SSD

Исследователи посмотрели под отладчиком прошивки популярных SSD от Crucial и Samsung и обнаружили, что во многих случаях мастер-пароли на шифрование были либо очень слабыми, либо одинаковыми для всего модельного ряда, либо отсутствовали вовсе.

Аппаратное шифрование SSD

Идея аппаратного шифрования SED 1 в том, что контроллер диска изначально шифрует данные 2 в любом случае, даже если юзер об этом явно не просил. Если защита отключена, контроллер читает зашифрованные данные, расшифровывает и передает пользователю. Если юзер включает защиту, то контроллер явно спрашивает пароль для расшифровки. С одной стороны, это удобно — включил шифрование, а оно уже как бы есть и не надо ждать, пока гигабайты данных на диске будут зашифрованы. С другой стороны, мастер-ключ для шифрования задается производителем диска. А производитель, как правило, водит дружбу с АНБ, цэрэушниками и рептилоидами.

Уязвимые модели дисков

Эксперты проверили:

  • Crucial (Micron) MX100, MX200 and MX300 internal hard disks;
  • Samsung T3 and T5 USB external disks;
  • Samsung 840 EVO and 850 EVO internal hard disks.

И ужаснулись. Не углубляясь в подробности, можно сказать, что расшифровать такой «зашифрованный» диск сможет даже пионер из 3 класса, так как легко найти или подобрать пароль. Не пользовательский, а аппаратный, которым данные непосредственно шифруются. То есть, пользователь может установить сложнейший пароль, соответствующий всем правилам безопасности, но для фактической расшифровки данных этот пароль и не нужен.

Проприатерной защиты не бывает

Эксперты в очередной раз советуют не доверять проприетарным прошивкам. Тут есть простое правило: если кто-то говорит, что девайс аппаратно что-то там шифрует, считайте, что на самом деле никакого шифрования нет.

Совет от специалистов

Исследователи из Radboud University (Нидерланды), проводившие исследование, советуют защищать данные на дисках с помощью VeraCrypt.
  • 1. Self encrypting drives.
  • 2. По алгоритму AES.
Ваша оценка: Нет Средняя оценка: 5 (5 votes)
a

А зачем тогда нужен пользовательский пароль если шифруется все равно паролем от производителя?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
11
pomodor

Затем, что именно его спрашивает контроллер у пользователя. Например, уборщик Вася вытащил SSD из офисного ПК и принес домой, чтобы слить секреты фирмы конкурентам. Если была включена защита, то у Васи спросят пароль, которого он не знает. Если бы защита действительно была надежной, то Васе пришлось бы выпаивать микросхемы памяти и брутфорсить пароль. Но исследователи показали, что это необязательно. Скоро в сети появятся списки дефолтных мастер-паролей. Что-то похожее было в свое время с паролями на БИОС, когда можно было "защитить" загрузку компа паролем, но в сети валялись инженерные пароли, подходящие почти для любого компа.

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
6

Все что надо защищать, так в первую очередь пользователя-от самого пользователя:), а потом уже думать о технических аспектах.

Ваша оценка: Нет Средняя оценка: 1 (2 votes)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.