Abo
  • Services:

SSD: Forscher umgehen Passwörter bei verschlüsselten Festplatten

Bei manchen SSDs mit Hardwareverschlüsselung konnten Forscher die Firmware so manipulieren, dass sie beliebige Passwörter akzeptierte. Das war nicht das einzige Problem, das sie fanden.

Artikel veröffentlicht am , Anna Biselli
Eines der sieben getesteten Festplattenmodelle
Eines der sieben getesteten Festplattenmodelle (Bild: Mine/Flickr.com/CC-BY 2.0)

Forscher der niederländischen Radboud University haben kritische Sicherheitslücken auf einigen Hardware-verschlüsselten SSDs gefunden. Sie testeten dafür insgesamt sieben Modelle von Crucial und Samsung, bei allen fanden sie unterschiedlich ausgeprägte Probleme. Angreifer können bei betroffenen Modellen etwa das Nutzerpasswort umgehen, wenn sie physischen Zugriff auf die Festplatte bekommen. Das beschreiben die Wissenschaftler Carlo Meijer und Bernard van Gastel in einem am 5. November veröffentlichten Paper.

Stellenmarkt
  1. DURAG GROUP, Hamburg
  2. Proact Deutschland GmbH, Nürnberg

Die meisten Hardware-verschlüsselten SSDs nutzen einen Data Encryption Key (DEK), mit dem die Daten auf den Festplatten mit AES kodiert werden. Er ist selbst verschlüsselt - mit einer Passphrase, die vom Nutzer gewählt wird.

Durch geänderte Firmware akzeptierten die Festplatten beliebige Passwörter

Die Wissenschaftler fanden heraus, dass der DEK in manchen Fällen nicht kryptographisch mit dem Nutzerpasswort verbunden war, sondern lediglich von ihm freigeschaltet wurde. Diese Freischaltung konnten die Forscher umgehen: Sie manipulierten über die Debug-Schnittstelle die Firmware der Festplatten so, dass sie ein beliebiges Passwort akzeptiert.

Ein weiteres Problem, das die Forscher bei einem der Samsung-Modelle identifizierten: Wenn ein Nutzer sich erst nachträglich dazu entschieden hatte, ein Passwort für die Festplatte zu setzen, konnten sie den unverschlüsselten DEK in einigen Fällen noch im Speicher der Festplatte finden. Das lag am Einsatz von Wear-Leveling, das die Schreibvorgänge gleichmäßig über die Speicherzellen verteilt. Der ungeschützte DEK wurde so nicht garantiert überschrieben. Bei neueren Samsung-Festplatten soll dieses Problem jedoch nicht mehr auftreten.

Nachdem sie die Sicherheitslücken gefunden hatten, informierten die Forscher das National Cyber Security Center der Niederlande und nahmen Kontakt zu den Herstellern auf. "Wir haben zugestimmt, die Sicherheitslücken sechs Monate lang nicht zu veröffentlichen", heißt es in dem Paper. Die Lücken seien von den Herstellern bestätigt worden und Firmwareupdates seien entweder bereits veröffentlicht worden oder befänden sich in Entwicklung. Dennoch empfehlen die Forscher, sich nicht allein auf Hardware-Verschlüsselung zu verlassen und zusätzlich eine Software-basierte Lösung zu nutzen.

Fehler können auch Verschlüsselungssoftware Bitlocker betreffen

Hier gibt es jedoch ein weiteres mögliches Problem: Die in Windows integrierte Verschlüsselungssoftware Bitlocker deaktiviert die Software-Verschlüsselung, wenn eine Festplatte Hardware-Verschlüsselung unterstützt und greift auf diese zurück. Es besteht also zunächst kein zusätzlicher Schutz. Das lässt sich jedoch lösen, indem die Gruppenrichtlinieneinstellungen so geändert werden, dass trotz der Hardware-Unterstützung eine Software-basierte Verschlüsselung genutzt werden soll.

Meijer und van Gastel fordern, dass Hersteller ihre Verschlüsselungsroutinen öffentlich machen, damit die Sicherheit unabhängig verifiziert werden kann. Sie kritisieren, dass man sich bei Hardwareverschlüsselung derzeit auf proprietäre, geschlossene und schwer zu auditierende Systeme verlassen müsse. "Festplattenverschlüsselung korrekt zu implementieren ist schwierig und Fehler haben oft katastophale Auswirkungen", schreiben sie.

Zu den Kommentaren springen
Meistgelesen
  1. Programmiersprachen, Pakete, IDEs
    So steigen Entwickler in Machine Learning ein
  2. Elektroauto
    VW soll Tesla-Rivalen für unter 20.000 Euro planen
  3. Tesla
    Rennmodus für Model 3 als Online-Update freigeschaltet
  4. Funklöcher
    Telefónica spottet über Netzabdeckung im Wald für Pilze-Apps
  5. Virtual Reality
    Valve arbeitet an VR-Headset und Half-Life-Titel
Anzeige
Spiele-Angebote
  1. (-50%) 4,99€
  2. (-50%) 29,99€
  3. 23,95€
  4. 2,99€
Kommentarübersicht
Re: LUKS...
FreiGeistler 08. Nov 2018 / Themenstart

Seit Linux 4.1 (aktuell: 4.19) kann man ext4 direkt verschlüsseln. Nicht so simpel...

Re: Die anfälligen SSDs sind:
andy01q 07. Nov 2018 / Themenstart

Die scheinen da tatsächlich die besten aus dem Testfeld zu sein. Siehe Bild von Twitter...

Re: Möchte gar nicht wisse wo das noch alles so...
flow77 07. Nov 2018 / Themenstart

Also bei Synology kein Problem (selbst im Einsatz). Qnap so viel ich weiß ebenso. Und...

nennt sich Hintertür
mhstar 06. Nov 2018 / Themenstart

"Die Wissenschaftler fanden heraus, dass der DEK in manchen Fällen nicht kryptographisch...

Re: Beturg!
Pluto1010 06. Nov 2018 / Themenstart

Es ist einfach preiswerter für den Hersteller. Ja das ist Betrug wenn sie sagen das da...

Kommentieren

Folgen Sie uns
       
Amazons Echo Dot (2018) - Test

Echo Dot steht eigentlich für muffigen Klang. Das ändert sich grundlegend mit dem neuen Echo Dot. Amazons neuer Alexa-Lautsprecher ist damit durchaus zum Musikhören geeignet. Für einen 60 Euro teuren Lautsprecher bietet der neue Echo Dot eine gute Klangqualität.

Amazons Echo Dot (2018) - Test Video aufrufen
Be Quiet
Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne
Samsung
Flexibles Smartphone: Samsung verspielt die Smartphone-Führung
Flexibles Smartphone
Samsung verspielt die Smartphone-Führung

Jahrelang dominierte Samsung den Smartphone-Markt mit Innovationen, in den vergangenen Monaten verliert der südkoreanische Hersteller aber das Momentum. Krönung dieser Entwicklung ist das neue flexible Nicht-Smartphone - die Konkurrenz aus China dürfte feiern.
Eine Analyse von Tobias Költzsch

  1. Samsung Linux-on-Dex startet in privater Beta
  2. Infinity Flex Samsung zeigt statt Smartphone nur faltbares Display
  3. Künstliche Intelligenz Auch Samsung soll SoC mit zwei KI-Kernen produzieren
Streaming
KEF LSX angehört: Neue Streaming-Lautsprecher mit voluminösem Klang
KEF LSX angehört
Neue Streaming-Lautsprecher mit voluminösem Klang

Mit dem LSX hat der britische Edellautsprecherhersteller KEF ein für seine Größe überraschend voluminös klingendes Streaming-Lautsprecherset vorgestellt. Bei einer ersten Hörprobe sind uns die gut getrennten Frequenzen und die satten Tiefen positiv aufgefallen - der Preis scheint uns gerechtfertigt.
Ein Hands on von Tobias Költzsch

  1. Videostreaming Warner plant Konkurrenz für Netflix und Disney
  2. Streaming Netflix erzeugt 15 Prozent des globalen Downloads
  3. Streaming Plex macht seine Cloud dicht
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /