Forskare upptäcker sårbarhet i moderna SSD-enheters kryptering

Två forskare i Nederländerna har tittat närmare på krypteringen i SSD-enheter från Samsung och Crucial, och menar att den har brister och lätt kan kringgås.

Hårdvarubaserad kryptering har länge varit en viktig del av moderna SSD-enheter, både för de som riktas mot företag men även konsumenter. Detta görs av en separat krets som endast hanterar kryptering av data, vilket enligt tillverkarna själva ska innebära högre säkerhet utan någon påtaglig påverkan på prestandan.

I ett forskningspapper från Radboud University i Nederländerna har två forskare tittat närmare på ett flertal populära modeller från Crucial och Samsung, som MX200 och 850 Evo, och konstaterar att det på samtliga är möjligt få tillgång till enheten utan lösenord eller krypteringsnycklar. De menar att det finns grundläggande fel i hur krypteringen görs och att den kan kringgås relativt enkelt.

Ett av de stora problemen är att krypteringsnyckeln (eng. data encryption key, DEK) inte är kopplad till det lösenord som används för att låsa upp enheten. Detta innebär att det med hjälp av debug-anslutningen på kretskortet är möjligt att programmera om enheten för att få den att godkänna vilket lösenord som helst.

foto_schijf.jpg

Det nämns även att många SSD-enheter använder en enda krypteringsnyckel för allt som finns lagrat på dem, istället för att använda olika nycklar för olika delar. Forskarna upptäckte även att riskerna ökar för de som krypterar sin information med hjälp av Bitlocker, då det som standard använder hårddiskens inbyggda hårdvarukryptering och har därmed i stort sett ingen effekt.

Forskarna riktar kritik mot tillverkarna för användandet av proprietära lösningar för kryptering, när det finns bättre sådana som även bygger på öppen källkod. Både Samsung och Crucial har uppmärksammats på säkerhetsriskerna i början av året och har släppt uppdateringar som åtgärdar dessa, där det varit möjligt.

Diskutera SSD-enheter och lagring i SweClockers forum

Sammanfattningsvis uppmanar de samtliga användare att inte endast vara beroende av hårdvarubaserad kryptering för viktiga filer. Rekommendationen som ges är att använda en mjukvarubaserad lösning och helst en som även bygger på öppen källkod.

Källa: Radboud University