Haavoittuvuuksia SSD-levyjen salaustoteutuksissa

Useiden valmistajien SSD-kiintolevyjen laitteistopohjaisista salaustoteutuksista on löytynyt haavoittuvuuksia, joiden avulla salauksen pystyy purkamaan tietämättä salausavainta.

Levyn salauksessa käytettyä salausavainta ei ole johdettu syötetystä salasanasta, vaan sitä säilytetään levyllä ja se otetaan käyttöön kun käyttäjä syöttää oikean salasanan. Sen pystyy siis selvittämään myös levyltä useilla eri tavoilla.

Jos Windows-käyttöjärjestelmän BitLocker huomaa asennusvaiheessa, että järjestelmässä on SSD-levy joka tukee laitteistosalausta, niin se käyttää oletusasetuksilla levyn tarjoamaa salausta ohjelmistotason salauksen sijaan.

Voit selvittää millä tavalla levy on salattu käynnistämällä komentokehotteen ylläpitäjän oikeuksin ja suorittamalla komennon "manage-bde.exe -status".
Jos Encryption Method -kohdassa lukee Hardware Encryption, niin salaus on toteutettu laitteistotasolla.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Kiintolevyt:

  • Crucial MX100, MX200, MX300
  • Samsung 840 EVO, 850 EVO, T3, T5
Luultavasti vastaavia haavoittuvuuksia löytyy myös muista kiintolevyistä. Haavoittuvuuden löytäjät eivät ole tutkineet kaikkia markkinoilla olevia SSD-levyjä.

BitLockerin heikkous koskee seuraavia Windowsin versioita:

  • Microsoft Windows 10 (kaikki versiot)
  • Windows 8.1
  • Windows Server 2019
  • Windows Server v1803
  • Windows Server v1709
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

Ratkaisu- ja rajoitusmahdollisuudet:

Kiintolevyvalmistajat ovat julkaisseet ohjelmistopäivityksiä ongelman rajoittamiseksi.

BitLocker on mahdollista pakottaa käyttämään ohjelmallista levynsalausta GroupPolicyn avulla. Lisää tietoja ja ohjeita on Tietoturva nyt! -artikkelissa Haavoittuvuuksia kiintolevyjen salaustoteutuksissa.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Salasana , Salaus , Työasema , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248