SSDs: Niemand sollte sich allein auf die eingebaute Krypto verlassen

Verschlüsselung, Kryptographie, Buch, Schlüssel, Truecrypt Bildquelle: Moxylyn
Die eingebaute Verschlüsselungs-Funktion einiger SSDs bietet schlicht keinen zuverlässigen Schutz. Informatiker aus den Niederlanden haben Wege gefunden, über die man auch ohne die Kenntnis des Nutzer-Passworts an die gespeicherten Informationen gelangen kann. Das zeigt, wie sinnvoll eine ordentlich konzipierte, eigene Krypto-Software sein kann. In den letzten Jahren verschlüsseln immer mehr Anwender ihre Daten - und greifen dabei auf die bequemen Möglichkeiten zurück, die viele aktuellen Datenspeicher von Haus aus mitbringen. Carlo Meijer und Bernard van Gastel von der niederländischen Universität Radboud haben nun aber Schwachstellen in der Hardware-Verschlüsselung ausgemacht, die durch einen eingebauten Chip durchgeführt wird.

Das Problem rührt von den Implementierungen zweier Standards für die Umsetzung solcher Hardware-Verschlüssselungen her. Und hier sind gleich mehrere Probleme zu finden - die im einfachsten Fall dazu führen dürften, dass Sicherheits-Experten die Hand nicht mehr von der Stirn bekommen.


Hacker würden Handbuch lesen

So fanden die Forscher beispielsweise SSDs, bei denen die Anwender zwar ein Passwort eingeben konnten, um ihre Daten zu schützen - doch hatte der Hersteller auch ein Master-Passwort implementiert, mit dem alle Informationen zugänglich wurden und das jeder wissen kann, der das Handbuch durchblättert. Hier muss der Anwender nach dem Einbau des Speichermediums in den Einstellungen erst einmal dafür sorgen, dass das Master-Passwort nicht mehr genutzt werden kann - eine Option, die sich teilweise nicht besonders intuitiv erschließt.

Andere Angriffe setzen schon etwas mehr Fachwissen voraus, sind aber ebenso auf Fehler der Entwickler zurückzuführen. So gab es beispielsweise Fälle, bei denen die Schlüssel nicht mit dem Nutzerpasswort verbunden waren. Das ermöglicht es, den Key direkt aus dem Speicher des Scurity-Chips auszulesen und für die Entschlüsselung der Daten einzusetzen.

Die Sicherheitsforscher fanden bei ihren Tests interner und externer SSDs aber auch noch eine Menge weiterer Schwachstellen. Mit Unterstützung des National Cyber Security Centre (NCSC) der Niederlande wurden die Hersteller bereits im April über die tiefergehenden Details der Probleme informiert. Crucial/Micron und Samsung haben darauf beispielsweise mit Firmware-Updates reagiert. Allerdings lassen sich damit auch nicht alle Probleme abstellen, so dass hier teilweise auch Lösungen gefunden werden müssen, bei denen verschiedene Unternehmen zusammenarbeiten.

Download VeraCrypt - TrueCrypt-Nachfolger für Vollverschlüsselung
Verschlüsselung, Kryptographie, Buch, Schlüssel, Truecrypt Verschlüsselung, Kryptographie, Buch, Schlüssel, Truecrypt Moxylyn
Mehr zum Thema: Solid-State-Drive
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden