Jag har skrivit tidigare om hur När krypteringen misslyckas, är nyckelhantering oftast att skylla. Du kanske har sett nyheten att SySS har listat ut hur samtidigt att knäcka öppet FIPS 140-2 nivå 2 USB-enheter från Kinston, SanDisk och Verbatim. Om du inte har hört talas om detta ännu, läs vidare. Sprickan skulle vara komiskt om det inte var så skrämmande lätt.
Alla USB-enheter i fråga använder 256 bitars AES för att säkra partition. De använder också hårdvara för att utföra krypteringen. Felet är i den främre änden mjukvara som utför verifiering. SySS fann att när en lyckad lösenord angavs, var en numerisk sträng skickas till enheten för att kryptera / dekryptera data. Så långt så bra. Felet är att exakt samma numerisk sträng används av alla enheter, oberoende av lösenord. Med andra ord verkar det som om samma nyckel, alltid används för att skydda varje enskild enhet. Skapa ett litet program magi för att skicka den strängen till någon av de ovan nämnda enheter, och du kommer att få tillgång till uppgifterna. Ingen kunskap om lösenordet krävs, inte heller råa tvingar. Skicka bara magi strängen och "poof!" Enheten är öppen.
Detta påminner mig om hacka en europeisk koncern hittas med en militär grad USB-enhet för några år sedan. Vad de räknat ut att en framgångsrik lösenord utlöst en specifik PIN-kod kombination. Utlösa stift med ett batteri och du har tillgång till enheten.
Naturligtvis skapar stora problem för slutanvändaren samhället. Marknadsföringen material på enheterna ser bra ut. De använder rätt algoritm som uppfyller rätt NIST spec, och ändå enheterna är knappt värdelös. Hur vet du vilka enheter verkligen är säkra? För mig går den tillbaka till en kommentar en gammal mentor en gång gjorde till mig, "bleeding edge och kryptografi inte blandas". Gissa det enda sättet att veta säkert är att låta andra veterinären det i några år först.
Inga relaterade inlägg.
