Ich habe in der Vergangenheit darüber, wie, wenn die Verschlüsselung nicht funktioniert, ist das Topmanagement in der Regel die Schuld geschrieben. Sie können die Nachricht, dass gesehen haben SySS herauszufinden, wie man gleichzeitig knacken hat bezifferten FIPS 140-2 Level 2 USB-Laufwerke aus Kinston, SanDisk und Verbatim. Wenn Sie nicht über dieses gehört haben, noch, lesen Sie weiter. Der Riss wäre komisch, wenn es nicht so beängstigend einfach.
Alle USB-Sticks in Frage benutzen 256-Bit AES, um die Partition zu sichern. Sie verwenden auch Hardware, um die Verschlüsselung durchzuführen. Der Fehler ist in der Front-End Software, die die Authentifizierung durchführt. SySS herausgefunden, dass, wenn eine erfolgreiche Passwort eingegeben wurde, eine numerische Zeichenfolge, um das Laufwerk zum Verschlüsseln / Entschlüsseln der Daten gesendet wurden. So weit, so gut. Der Fehler ist, dass genau die gleiche Ziffernfolge von allen Laufwerken verwendet wird, unabhängig davon vergessen. Mit anderen Worten scheint es, dass die gleichen Schlüssel immer verwendet wird, um jedes einzelne Laufwerk zu schützen. Erstellen Sie eine kleine Software-Magie, um die Zeichenfolge in einem der oben genannten Laufwerke zu senden, und Sie erhalten Zugang zu den Daten zu gewinnen. Keine Kenntnis des Passwortes erforderlich ist, noch ist brute force. Senden Sie einfach die Magie String und "POOF!" Das Laufwerk zu öffnen.
Das erinnert mich an den Hack einer europäischen Gruppe mit einem militärischen grade USB-Laufwerk fand ein paar Jahre zurück. Was sie herausgefunden, dass eine erfolgreiche Passwort ein bestimmtes pin Kombination ausgelöst. Lösen Sie die Bolzen mit einem Akku und Sie haben Zugriff auf das Laufwerk.
Natürlich schafft große Probleme für die Endbenutzer. Die Marketing-Material auf den Laufwerken sieht gut aus. Sie sind mit den richtigen Algorithmus, die den rechten NIST spec, und doch sind die Antriebe knapp nutzlos. Woher wissen Sie, welche Laufwerke tatsächlich sicher sind? Für mich geht es zurück, um einen Kommentar ein alter Mentor mir einmal vorgenommen, "bleeding edge und Kryptographie nicht mischen." Raten Sie der einzige Weg, um sicher zu wissen, ist, anderen zu überlassen Tierarzt es für ein paar Jahre zuerst.
No related posts.
