Jsou vaše data v bezpečí? Výzkum odhalil velký problém s hardwarovým šifrováním SSD

7. 11. 2018

Sdílet

 Autor: Redakce
Výrobci úložišť nedělají svou práci dobře. SSD nabízející hardwarové šifrování vaše data nemusí dobře chránit. Naneštěstí se o toto šifrování opírá také Bitlocker.

Nepříjemnou skutečnost odhalil výzkumný tým z nizozemské Radboud University. Jednou z výhod edice Pro operačního systému Windows by měla být funkce Bitlocker. Šifrovat obsah úložiště je z bezpečnostního hlediska dobré, a to primárně na přenosných počítačích. Naneštěstí v kombinaci s dnes již rozšířenými a primárně díky vysokému výkonu oblíbenými SSD nemusí být aktivace funkce moc platná. Proč vaše data Bitlocker nemusí vždycky uchránit? Jak se ukázalo, vina leží na dvou stranách. Podle vydané předběžné verze zprávy Bitlocker využívá hardwarové šifrování vždy, když je dostupné. Spoléhá se tak na to, že SSD zvládne data ochránit. To by nutně nebyl problém, kdyby SSD data šifrovalo a dodržovalo přitom zásady bezpečnosti. Jenže SSD šifrují špatně. Ze všech problémů s jejich chováními a logikami za vypíchnutí stojí zcela nepochopitelná věc. Model Crucial MX300 má hlavní heslo nastavené na výraz uvedený mezi uvozovkami: „“. Není to chyba, heslo je žádný znak. Těžko se hledají slova na adekvátní popis chování výrobce příslušného úložiště. Výzkumný tým kritizuje, že hardwarové šifrování se opírá o proprietární šifrovací metody, u nichž nelze snadno provést audit. A jak ukázalo reverzní inženýrství, uzavřené technologie podkopává plno děr. Je třeba dodat, že výzkum se týkal jen pár obvyklých interních i externích modelů SSD (Crucial MX100, MX200 a MX300,

Věřit diskům? Velká chyba Bitlockeru

Výzkumný tým zprávu uzavírá tím, že je typicky možné se k datům na úložištích dostat i bez znalosti hlavního hesla nebo klíče. V případě, že Bitlocker detekuje funkce Opal, šifrování ponechá na discích. To může znít logicky, neboť hardwarové šifrování by mělo nabízet lepší výkon. Důvěra se ale v tomto případě ukázala být nemoudrým rozhodnutím.

Pomocí zásad skupiny můžete šifrování změnit na softwarové, změna se už ale nedotkne stávajících úložišť. Aby na ně bylo aplikováno softwarové šifrování, museli byste provést novou instalaci systému, tvrdí výzkumný tým. Ten dále doporučil k šifrování raději využívat alternativní nástroje jako otevřený VeraCrypt.

Podporuje váš procesor hardwarové šifrování pro AES? Podporuje váš procesor hardwarové šifrování pro AES?

Nástroj dovede využít standard AES-NI, díky čemuž může být šifrování urychleno hardwarovou akcelerací. Je otázka, jestli pak lze ospravedlnit rozhodnutí Bitlockeru, že se bude spoléhat na hadrové šifrování SSD, místo aby si raději prosadil svou. Rychlejší šifrování je nakonec stejně kontraproduktivní, pokud ho lze relativně snadno obejít.

Reakce Samsungu, Crucialu a Microsoftu

Výzkumný tým uvádí, že oba zmíněné výrobce úložišť kontaktoval v dubnu 2018 a poskytl jim detailní informace, aby mohly své chyby v softwarech napravit. Jak upozornil Redmond Magazine, Samsung teprve na zveřejnění výzkumu zareagoval krátkou zprávou, kde pro interní SSD prostě jen doporučuje využít bezplatný šifrovací software, který je kompatibilní s vaším systémem.

Přípravu jiného řešení neslibuje. U přenosných disků doporučuje aktualizovat firmware. (Dle výzkumu lze skrze firmware vyřešit jen některé z nalezených problémů.) Crucial, resp. Micron, vlastník značky, již vydal záplatovaný firmware pro úložiště MX100 a MX200, najdete jej na webu výrobce. Nový firmware pro MX300 bude dostupný od 13. listopadu.

ICTS24

Bitlocker spoléhá na to, že SSD si šifrování vyřeší samo Bitlocker spoléhá na to, že SSD si šifrování vyřeší samo

Na zveřejnění zprávy zareagoval též Microsoft. Potvrzuje standardní chování Bitlockeru a také nutnost znovu provést šifrování úložiště, neuvádí však, že byste museli provést novou instalaci. Prý stačí aktivovat vynucení softwarového šifrování, zcela vypnout Bitlocker, čímž dojde k dešifrování úložiště, a nakonec znovu zapnout Bitlocker.

Podle Microsoftu se problém dotýká Windows 10 (všechny verze), Windows 8.1, Windows RT 8.1 a Windows Server od verze 2012 až po nejnovější vydání. Firma neuvádí, zda plánuje změnit chování svého šifrovacího nástroje.