He escrito en el pasado acerca de cómo cuando no cifrado, gestión de claves suele ser el culpable. Usted pudo haber visto la noticia de que SySS ha descubierto la manera de romper al mismo tiempo con FIPS 140-2 nivel 2 de las unidades USB Kinston, SanDisk y Verbatim. Si usted no ha oído hablar de esto, sin embargo, sigue leyendo. La grieta sería cómico si no fuera tan fácil de miedo.
Todas las unidades USB en cuestión utiliza AES de 256 bits para asegurar la partición. También el uso de hardware para llevar a cabo el proceso de cifrado. La falla es en el software de interfaz que realiza la autenticación. SySS encontró que cuando una contraseña se ha introducido con éxito, una cadena numérica fue enviado a la unidad para encriptar / desencriptar los datos. Hasta ahora, todo bien. La falla es que la cadena numérica exacta misma es utilizada por todas las unidades, independientemente de la contraseña. En otras palabras, parece que la clave del mismo siempre ha sido utilizada para proteger a todos una sola unidad. Crear una magia poco software para enviar esa cadena a cualquiera de las unidades antes mencionadas, y tendrá acceso a los datos. No tenía conocimiento de la contraseña es necesario, ni está obligando bruta. Sólo tienes que enviar la cadena de la magia y "puf!" La unidad está abierta.
Esto me recuerda a la corte un grupo de europeos encontraron con un grado militar unidad USB hace unos años. Lo que descubrió es que una contraseña éxito provocó una combinación de espigón específica. Activar el pin con una batería y tiene acceso a la unidad.
Por supuesto, esto crea grandes problemas para la comunidad de usuarios finales. El material de marketing de las unidades se ve bien. Ellos están usando el algoritmo correcto, cumpliendo con las especificaciones de la derecha del NIST, y sin embargo, las unidades son poco menos de nada. ¿Cómo saber qué unidades son realmente seguros? Para mí, que se remonta a un comentario de un viejo mentor una vez que me hizo, "más punteras y la criptografía no se mezclan". Supongo que la única manera de saber con certeza es que los demás que un veterinario para los primeros años.
No related posts.
