Ho scritto in passato su come, quando fallisce la crittografia, gestione delle chiavi è di solito la colpa. Potreste aver visto la notizia che SySS ha capito come crepa aperti simultaneamente FIPS 140-2 livello 2 drive USB da Kinston, SanDisk e Verbatim. Se non hai ancora sentito parlare di questo, continuate a leggere. Il crack sarebbe comico se non fosse così spaventoso facile.
Tutte le unità USB in questione l'utilizzo di 256 bit AES per proteggere la partizione. Usano anche l'hardware per eseguire il processo di crittografia. Il difetto è nel software front-end che esegue l'autenticazione. SySS scoperto che quando una password di successo è stato immesso, una stringa numerica è stato inviato al drive per cifrare / decifrare i dati. Fin qui, tutto bene. Il difetto è che l'esatta stessa stringa numerica è usato da tutte le unità, indipendentemente dalla password. In altre parole, sembra che la stessa chiave viene sempre utilizzato per proteggere ogni singolo disco. Creare un po 'di magia software per l'invio che la stringa di una qualsiasi delle unità di cui sopra, e avrai accesso ai dati. Nessuna conoscenza della password è richiesto, né è bruta forzatura. Basta inviare la stringa di magia e "PUF!" L'unità è aperto.
Questo mi ricorda l'hack di un gruppo europeo trovato con un disco di livello militare USB a pochi anni fa. Quello che è capito che una password di successo innescato una specifica combinazione pin. Innescare il perno con una batteria e si ha accesso al disco.
Naturalmente questo crea grossi problemi per la comunità di utenti finali. Il materiale di marketing sulle unità sembra buono. Stanno usando l'algoritmo giusto, incontrando il diritto NIST specifiche, ma le unità sono poco meno di inutile. Come fai a sapere quali unità sono realmente sicuri? Per me, ritorna a un commento un mentore vecchio una volta fatta per me ", sanguinamento bordo e crittografia non si mescolano". Indovina l'unico modo per sapere con certezza è quella di lasciare che gli altri si veterinario per alcuni anni prima.
No related posts.
