Jsou vaše data v bezpečí? Výzkum odhalil velký problém s hardwarovým šifrováním SSD

Výrobci úložišť nedělají svou práci dobře. SSD nabízející hardwarové šifrování vaše data nemusí dobře chránit. Naneštěstí se o toto šifrování opírá také Bitlocker.

1
Zabezpečení (Ilustrační foto)
Zabezpečení (Ilustrační foto)

Nepříjemnou skutečnost odhalil výzkumný tým z nizozemské Radboud University. Jednou z výhod edice Pro operačního systému Windows by měla být funkce Bitlocker. Šifrovat obsah úložiště je z bezpečnostního hlediska dobré, a to primárně na přenosných počítačích. Naneštěstí v kombinaci s dnes již rozšířenými a primárně díky vysokému výkonu oblíbenými SSD nemusí být aktivace funkce moc platná.

Proč vaše data Bitlocker nemusí vždycky uchránit? Jak se ukázalo, vina leží na dvou stranách. Podle vydané předběžné verze zprávy Bitlocker využívá hardwarové šifrování vždy, když je dostupné. Spoléhá se tak na to, že SSD zvládne data ochránit. To by nutně nebyl problém, kdyby SSD data šifrovalo a dodržovalo přitom zásady bezpečnosti. Jenže SSD šifrují špatně.

Ze všech problémů s jejich chováními a logikami za vypíchnutí stojí zcela nepochopitelná věc. Model Crucial MX300 má hlavní heslo nastavené na výraz uvedený mezi uvozovkami: „“. Není to chyba, heslo je žádný znak. Těžko se hledají slova na adekvátní popis chování výrobce příslušného úložiště.

Výzkumný tým kritizuje, že hardwarové šifrování se opírá o proprietární šifrovací metody, u nichž nelze snadno provést audit. A jak ukázalo reverzní inženýrství, uzavřené technologie podkopává plno děr. Je třeba dodat, že výzkum se týkal jen pár obvyklých interních i externích modelů SSD (Crucial MX100, MX200 a MX300, dále Samsung T3, T5, 840 EVO, 850 EVO). Přesto poskytl impulz k zamyšlení nad přístupem výrobců disků a problematikou šifrování obecně.

Věřit diskům? Velká chyba Bitlockeru

Výzkumný tým zprávu uzavírá tím, že je typicky možné se k datům na úložištích dostat i bez znalosti hlavního hesla nebo klíče. V případě, že Bitlocker detekuje funkce Opal, šifrování ponechá na discích. To může znít logicky, neboť hardwarové šifrování by mělo nabízet lepší výkon. Důvěra se ale v tomto případě ukázala být nemoudrým rozhodnutím.

Pomocí zásad skupiny můžete šifrování změnit na softwarové, změna se už ale nedotkne stávajících úložišť. Aby na ně bylo aplikováno softwarové šifrování, museli byste provést novou instalaci systému, tvrdí výzkumný tým. Ten dále doporučil k šifrování raději využívat alternativní nástroje jako otevřený VeraCrypt.

Podporuje váš procesor hardwarové šifrování pro AES?
Podporuje váš procesor hardwarové šifrování pro AES?

Nástroj dovede využít standard AES-NI, díky čemuž může být šifrování urychleno hardwarovou akcelerací. Je otázka, jestli pak lze ospravedlnit rozhodnutí Bitlockeru, že se bude spoléhat na hadrové šifrování SSD, místo aby si raději prosadil svou. Rychlejší šifrování je nakonec stejně kontraproduktivní, pokud ho lze relativně snadno obejít.

Reakce Samsungu, Crucialu a Microsoftu

Výzkumný tým uvádí, že oba zmíněné výrobce úložišť kontaktoval v dubnu 2018 a poskytl jim detailní informace, aby mohly své chyby v softwarech napravit. Jak upozornil Redmond Magazine, Samsung teprve na zveřejnění výzkumu zareagoval krátkou zprávou, kde pro interní SSD prostě jen doporučuje využít bezplatný šifrovací software, který je kompatibilní s vaším systémem.

Přípravu jiného řešení neslibuje. U přenosných disků doporučuje aktualizovat firmware. (Dle výzkumu lze skrze firmware vyřešit jen některé z nalezených problémů.) Crucial, resp. Micron, vlastník značky, již vydal záplatovaný firmware pro úložiště MX100 a MX200, najdete jej na webu výrobce. Nový firmware pro MX300 bude dostupný od 13. listopadu.

Bitlocker spoléhá na to, že SSD si šifrování vyřeší samo
Bitlocker spoléhá na to, že SSD si šifrování vyřeší samo

Na zveřejnění zprávy zareagoval též Microsoft. Potvrzuje standardní chování Bitlockeru a také nutnost znovu provést šifrování úložiště, neuvádí však, že byste museli provést novou instalaci. Prý stačí aktivovat vynucení softwarového šifrování, zcela vypnout Bitlocker, čímž dojde k dešifrování úložiště, a nakonec znovu zapnout Bitlocker.

Podle Microsoftu se problém dotýká Windows 10 (všechny verze), Windows 8.1, Windows RT 8.1 a Windows Server od verze 2012 až po nejnovější vydání. Firma neuvádí, zda plánuje změnit chování svého šifrovacího nástroje.

Jsou vaše data v bezpečí? Výzkum odhalil velký problém s hardwarovým šifrováním SSD

Ohodnoťte tento článek!
4.4 (87.69%) 13 hlas/ů

1 komentář

  1. „Velká chyba BitLockeru“?!?!? WTF je tohle za logiku?
    Výrobci těch SSD deklarují nějakou schopnost, takže je zcela logické se spolehnout, že to je pravda. Možná bych měl do auta pro jistotu místo BA95 (pardón, E5) točit naftu, protože rafinérky docela určitě lžou! Asi bych taky měl do ráfků vyvrtat další díry na další šrouby, protože automobilka i výrobci ráfků dozajista lžou! Asi bych si měl elektřinu doma vyrábět vrtěním klikou, protože kdoví co mi leze ze zásuvky! A možná bych neměl ani žrát, protože výrobci potravin a obchodníci se snaží všechny otrávit!
    Co jsou SSD od Samsungu za příšerný crapware se ukázalo už u 750EVO, která uměla nevratně zdechnout během 3 měsíců, a „opravili“ ji firmwarem, který už tak tragickou „garantovanou“ životnost zkrátil o desítky procent.
    Všichni by teď měli udělat to, že ta shitová SSDčka vezmou a dojdou je vrátit s požadavkem na vrácení peněz v plné výši včetně class-action žaloby (která už je možná i v EU), a aspoň nějakou dobu by je měli svědomitě bojkotovat.