Sicherheitsforscher haben die Verschlüsselung in mehreren bekannten Crucial- und Samsung-SSDs aufgegeben – TechCrunch


Forscher der Radboud University haben kritische Sicherheitslücken in mehreren beliebten Solid-State-Laufwerken (SSDs) von Crucial und Samsung gefunden, die laut ihrer Aussage leicht zur Wiederherstellung verschlüsselter Daten genutzt werden können, ohne das Passwort zu kennen.

Die Forscher, die ihre Ergebnisse in einer neuen Zeitung am Montag detailliert beschrieben haben, haben die Firmware mehrerer Laufwerke rückgängig gemacht, um ein „Muster kritischer Probleme“ bei den Geräteherstellern zu finden.

Im Falle eines Laufwerks war das zum Entschlüsseln der Laufwerksdaten verwendete Master-Passwort nur eine leere Zeichenfolge und konnte leicht durch ein einzelnes Bit im Speicher des Laufwerks genutzt werden. Ein anderes Laufwerk kann mit einem beliebigen Kennwort entsperrt werden, indem die Gültigkeitsprüfungen des Laufwerks eingeschränkt werden.

Dies wäre kein großes Problem, wenn ein betroffenes Laufwerk auch Software-Verschlüsselung zur Sicherung seiner Daten verwendet. Die Forscher fanden jedoch heraus, dass bei Windows-Computern die Standardrichtlinie für die softwarebasierte Laufwerkverschlüsselung von BitLocker häufig darin besteht, dem Laufwerk zu vertrauen – und sich daher zum Schutz der Daten vollständig auf die Hardware-Verschlüsselung eines Geräts stützen. Wie die Forscher herausfanden, unternimmt BitLocker, wenn die Hardwareverschlüsselung fehlerhaft ist, nicht viel, um Datendiebstahl zu verhindern.

Mit anderen Worten, Benutzer "sollten sich nicht ausschließlich auf die von SSDs angebotene Hardwareverschlüsselung zur Vertraulichkeit verlassen", sagten die Forscher.

Alan Woodward, Professor an der University of Surrey, sagte, dass das größte Risiko für die Benutzer darin bestehe, dass die Sicherheit des Laufwerks "im Hintergrund ausfällt".

"Sie denken vielleicht, Sie hätten das richtige getan, um BitLocker zu aktivieren, aber dann untergräbt ein Fehler eines Drittanbieters Ihre Sicherheit, aber Sie wissen es nie und würden es auch nie erfahren", sagte er.

Matthew Green, Kryptographieprofessor bei Johns Hopkins, beschrieb den BitLocker-Fehler in einem Tweet als "wie aus einem Flugzeug mit einem Regenschirm statt einem Fallschirm springen".

Die Forscher sagten, dass ihre Ergebnisse noch nicht abgeschlossen sind – bis zum Peer Review. Die Forschung wurde jedoch veröffentlicht, nachdem die Fehler den Laufwerksherstellern im April mitgeteilt worden waren.

Die Laufwerke MX100, MX200 und MX300 von Crucial, die externen USB-Laufwerke T3 und T5 von Samsung sowie die internen Festplatten Samsung 840 EVO und 850 EVO sind bekannt, aber die Forscher warnten davor, dass viele andere Laufwerke ebenfalls einem Risiko ausgesetzt sind.

Die Forscher kritisierten, dass die proprietäre und geschlossene Quellkryptographie der Gerätehersteller, von denen sie sagten, dass sie "in der Praxis oft viel schwächer ist" als ihre Open-Source- und überprüfbaren kryptographischen Bibliotheken. "Hersteller, die Sicherheit ernst nehmen, sollten ihre Krypto-Schemata und den entsprechenden Code veröffentlichen, damit Sicherheitsansprüche unabhängig geprüft werden können", schrieben sie.

Die Forscher empfehlen die Verwendung einer softwarebasierten Verschlüsselung wie der Open-Source-Software VeraCrypt.

In einem Advisory empfahl Samsung den Benutzern auch, eine Verschlüsselungssoftware zu installieren, um einen "potenziellen Verstoß gegen selbstverschlüsselnde SSDs" zu verhindern. Laut Besitzer eines Crucial-Besitzers, Micron, heißt es in einem Bericht des National Cyber ​​Security Centre der Niederlande , sagte aber nicht wann.

Micron hat nicht sofort auf eine Anfrage nach einem Kommentar geantwortet.