Af Nicolai Devantier, 06/11/18
Forskere har fundet en fejl, der kan udnyttes til at omgå hardware-dekryptering uden brug af en adgangskode, på flere populære SSD-drev.
De selvkrypterende drev leverer således ikke det forventede niveau af datasikkerhed, lyder konklusionen.
I en rapport kaldet: Self-encrypting deception: weaknesses in the encryption of solid state drives (SSDs) beskriver forskerne Carlo Meijer og Bernard van Gastel, hvordan man kan omgå beskyttelsesmekanismerne og få adgang til de krypterede data uden at kende adgangskoden.
Det handler eksempelvis om diske som Crucial MX100, Crucial MX200, Crucial MX300, Samsung 840 EVO og Samsung 850 EVO.
”I teorien er hardware-baseret kryptering mindst lige så god som de software-baserede implementeringer, men i praksis fandt vi flere hardware-modeller med kritiske svagheder, der muliggør komplet gendannelse af data uden kendskab til adgangskoden,” kan man læse i rapporten.
De to forskere anbefaler, at man anvender software-baseret kryptering og ikke alene stoler på den hardware-baserede.
Du kan finde hele rapporten via linket nedenfor.
Anbefaling:
DKCERT anbefaler, at du stadig anvender kryptering i forbindelse med de data, som er følsomme og ikke må falde i hænderne på fremmede.
Links:
- Radboud University researchers discover security flaws in widely used data storage devices, link til Radboud Universitys rapport.
- Flaws in Popular Self-Encrypting SSDs Let Attackers Decrypt Data, artikel fra The Hacker News.