SSDs: Forscher finden große Lücken in der Hardware-Verschlüsselung
Solid-State-Laufwerke, die Daten per Hardware verschlüsselt abspeichern, sind laut den Untersuchungen niederländischer Forscher nicht so sicher wie gedacht. Bei mehreren Modellen ist es möglich, die Verschlüsselung ohne Passwort oder Key komplett zu umgehen und die Daten auf dem Laufwerk wiederherzustellen.
Forscher der niederländischen Universität Radboud haben sich aktuelle SSD -Modelle von Crucial und Samsung angesehen und festgestellt, dass es bei mehreren Laufwerken einfach möglich ist, ohne das eigentlich notwendige Passwort verschlüsselte Daten wiederherzustellen. Die Forscher haben dazu die Firmware der Laufwerke genau analysiert und dabei über die Hersteller hinweg "Muster kritischer Probleme" festgestellt.
SSDs: Einfache Aushebelung der Passwort-Prüfung
Der extremste Fall war, dass das Master-Passwort eines Laufwerks tatsächlich leer war und es für den Zugriff auf die Daten ausreichte, ein einziges Bit im Speicher der SSD umzustellen. Bei einem anderen Laufwerk war es möglich, die Prüfung des Passworts auszuhebeln, sodass jedes beliebige Passwort für eine Entschlüsselung akzeptiert wurde.
Wie die Forscher darüber hinaus festgestellt haben, vertraut die Sicherheitsfunktion Bitlocker unter Windows den Laufwerken und deren Hardware-Verschlüsselung komplett. Da diese jedoch oft fehlerhaft ist, ist in solchen Fällen auch Bitlocker kein Schutz mehr. Daher empfehlen die Forscher, sich nicht nur auf Hardware-Verschlüsselung zu verlassen.
Von den gefundenen Problemen sind die Laufwerke der Serien Crucial MX100, MX200 und MX300, die externen USB-SSDs T3 und T5 von Samsung sowie die Serien 840 Evo und 850 Evo betroffen. Die Forscher gehen aber davon aus, dass viele andere Modelle ebenfalls unsicher sind. Die Hersteller wurden schon im April über die Sicherheitslücken informiert.
Auch interesssant: Portsmash: Neue Hyper-Threading-Sicherheitslücke in Intel-CPUs gefunden
Die Forscher kritisieren auch, dass bei den SSDs oft proprietäre Verschlüsselungsmethoden verwendet werden, die sich in der Praxis als schwächer herausstellen als Open-Source-Verschlüsselung. Samsung rät inzwischen selbst dazu, Daten durch kostenlose Verschlüsselungssoftware abzusichern, während Micron als Mutterunternehmen von Crucial laut Techcrunch wohl an einer Fehlerbehebung arbeitet.
das scheint noch nie geknackt worden zu sein.
Zumindest werben sie damit.
Audit abgeschlossen: TrueCrypt 7.1 weitgehend sicher |
heise Security
Auf UEFI OS-Verschlüsselung muß man halt verzichten.
Bei vielen Linux-Distributionen ist das Software-Verschlüsseln per Open-Source-Lösung eine Standardfrage während der Installation. Da ist man nicht auf die nicht-nachprüfbaren Versprechungen von irgendwelchen Anbietern im Hinblick auf ihre proprietäre Firmware angewiesen.
Ich habe eine verschluesselte Linux- SSD, die ueber einen USB3-Adapter angeschlossen wird. Da ist das Laufwerk verschluesselt und die Temp - Dateien gleich mit.
Wer wirklich sicher ssein will lagert wichtige Daten am besten auf einer externen Festplatte die nur bei Bedarf eingesteckt wird,das Risiko ist dadurch geringer.
Wens interessiert,hier das (englische) pdf:
https://www.ru.nl/publish...