Máte v počítači SSD a ve Windows aktivované šifrování pomocí BitLockeru? Možná to nebude stačit. Bezpečnostní experti z nizozemské Radboudské univerzity totiž zveřejnili závěry své několikaměsíční studie (PDF), ve které si vzali na paškál několik populárních SSD jednotek od Samsungu (840 EVO a 850 EVO), Crucialu (Micron) a hledali v nich bezpečnostní zranitelnosti.
Našli je. Data na jednotkách jsou šifrovaná pomocí klíče DEK (Disk Encryption Key), který je uložený přímo ve speciálním čipu jednotky. Za ideálních podmínek by měl být tento klíč pevně svázaný se samotným uživatelským heslem, bez kterého se nedostanete ani k DEK. V mnoha případech tomu tak ale není, což nyní potvrdila i studie.
JTAG rozhraní na SSD jednotkách EVO od Samsungu. Pokud se hypotetický útočník dostane fyzicky k úložišti, můžete skrze něj softwarovou cestou obejít uživatelské heslo a přikázat šifrovacímu čipu, ať vše dešifruje.
Inženýři z Radboudské univerzity kvůli této designové chybě uživatelské heslo jednoduše zcela obešli a klíčem DEK soubory na SSD dešifrovali i bez jeho znalosti.
Zdokumentovaný postup nicméně vyžaduje fyzický přístup k disku, se kterým musí hypotetický útočník komunikovat přímo skrze servisní rozhraní (JTAG). Stručně řečeno, útočník by potřeboval šroubovák a váš laptop přinejmenším na pár minut.
Testované jednotky s děravým zabezpečením:
- Crucial (Micron) MX100, MX200, MX300 (interní jednotky)
- Samsung T3, T5 (USB klíčenky)
- Samsung 840 EVO, 850 EVO (interní jednotky)
Autoři upozorňují, že podobné zranitelnosti mohou být i na dalších jednotkách ostatních výrobců, které hlouběji nezkoumali.
Když SSD podporuje hardwarové šifrování, BitLocker to může ukolébat a bude mu věřit
A co s tím má vlastně společného BitLocker, tedy šifrovací program v profesionálních verzích Windows? BitLocker nabízí jak softwarové, tak hardwarové šifrování přímo disku.
Jelikož softwarové šifrování přirozeně více zatěžuje procesor, pokud jednotka podporuje i to hardwarové, může mu dát BitLocker ve výchozím stavu přednost. BitLocker v takovém případě spoléhá na výrobce SSD, že mu hardwarové šifrování opravdu funguje.
BitLocker v profesionálních verzích Windows
Uživatel se tedy může domnívat, že mu BitLocker spolehlivě chrání data, ale stejně jako Microsoft netuší, že realita může být trošku jiná.
Řešením tak může být buď vynucené softwarové šifrování v BitLockeru, který v takovém případě zabezpečí data nehledě na schopnosti samotné jednotky, anebo softwarové šifrování třetí strany.
Těch je dnes hned několik počínaje českým podnikovým řešením SODAT Encryption a konče svobodným šifrovacím softwarem VeraCrypt.
„Studie doporučuje při šifrování dat nespoléhat čistě na hardwarové šifrování, ale využít i kryptografickou ochranu na softwarové úrovni,“ říká Jan Vobruba ze SODATu.