db31f7e6-s

000: Socket774 2018/11/06(火) 03 ID:
SamsungやCrucial製のSSD(ソリッド・ステート・ドライブ)で、暗号化して保存されているデータが第三者によって解読されてしまうという脆弱性が明らかにされました。この問題はSSDのデバッグ機能を利用したもので、ひとたびクラッキングが行われるとユーザーが設定していたパスワードがなくとも中身のデータを開くことが可能になるとのことです。

Solid state of fear: Euro boffins bust open SSD, Bitlocker encryption (it's really, really dumb) • The Register https://www.theregister.co.uk/2018/11/05/busted_ssd_encryption/

中略

具体的には、問題のSSDにはいずれもチップ内に保存されている所有者のパスワードと実際のデータ暗号化キー(DEK)をリンクすることに失敗するという問題が存在するとのこと。SSD内蔵のプロセッサとファームウェアは必要な時にいつでもDEKを使用できますが、これは正しいパスワードが入力されている場合に限られます。しかし、SSDのデバッグポートに物理的にアクセスしている第三者がファームウェアを再プログラムしたり操作したりすると、パスワードの認証をスキップしてDEKを使用できるようになってしまうことが明らかにされています。

本来であれば、DEKは何らかの形で所有者のパスフレーズから得られるべき性質のもの。しかし実際のSSDでは、その原則が適用されていないケースがある模様です。さらに、多くのSSDでは「セクションごとに異なるパスワード設定可能」とうたっておきながら、実際にはデバイスで単一のDEKが使用されているケースも確認されているとのこと。

この問題を回避するための方法として、二人の研究者は「SSDのハードウェア暗号化機能を利用せず、ホスト側のコンピューターでドライブ全体を暗号化すること」を推奨しています。

全文はソースで
https://gigazine.net/news/20181106-flaws-self-encrypting-ssd/

635: Socket774 (ワッチョイ 8a53-+Zgl) 2018/11/06(火) 03:50:51.25 ID:DzPL1JW10

セキュリティホール?あったみたい

636: Socket774 (ワッチョイ 8b87-ZA70) 2018/11/06(火) 03:55:57.47 ID:7LXnykXF0
>>635
Security researchers have busted the encryption in several popular Crucial and Samsung SSDs
https://techcrunch.com/2018/11/05/crucial-samsung-solid-state-drives-busted-encryption/
Google翻訳
Radboud大学の研究者は、人気のあるクルーシャルとサムスンのソリッドステートドライブ(SSD)に重大なセキュリティ上の欠陥があることを発見しました。


えええ、急に安くなったのこのせいか??

メジャーブランドも駄目とか何を信じたら良いの??

671: Socket774 (ワッチョイ 63dd-WTaI) 2018/11/06(火) 09:23:52.60 ID:qeYmNN/k0
>>636
> えええ、急に安くなったのこのせいか??
NANDフラッシュが安くなったからでしょう
・積層数が増えて容量あたりの価格が下がった
・現世代の製造が成熟して歩留まり率が上がった
・供給量の増加分ほど需要が伸びてない
https://pc.watch.impress.co.jp/docs/news/1130677.html

ハードウェアによるクローズドソースな暗号化が脆弱でも、自分の場合は暗号化してない
必要ならソフトウェアによるオープンソースな暗号化を行えばいい

638: Socket774 (ワッチョイ 9a87-Y/6i) 2018/11/06(火) 04:11:28.40 ID:C+EkC2Jt0
そもそも暗号化してないからいいや

664: Socket774 (ワッチョイ fa6a-YdG1) 2018/11/06(火) 08:56:20.54 ID:jcHZwemY0
>>638
暗号化絡みなら、つい最近CrucialがMX100/MX200に
対策用の新Firmを出してたから、FirmUpで直るんジャネ?

642: Socket774 (ワッチョイ c711-zV7r) 2018/11/06(火) 05:16:28.51 ID:55WstxGi0
でも値下がり自体はCPU不足からPCの供給量が落ちちゃってるのが大きいでしょ。
CPUの値段は独歩高でPCの値段は上がっちゃってるけど。

643: Socket774 (ワッチョイ a305-yPEb) 2018/11/06(火) 05:29:01.79 ID:k/k6ufer0
記事にあるのはMLC以前のものだな
Intelがないと言うより調べてないって感じだな
これ全てのSSDが該当するはず

1T買ったけど微妙な容量だし
ゲーム用で使えば問題無さそうだな

644: Socket774 (ササクッテロレ Spbb-WT4u) 2018/11/06(火) 05:43:17.91 ID:VRXBdMRnp
>>643
MX300も850EVOも3DTLCで現行の一つ前のモデルだぞ
他の多くのモデルもダメだろうとも書かれてるが

645: Socket774 (ワッチョイ df7d-VrcX) 2018/11/06(火) 06:10:19.08 ID:1a6aTZ/v0
850evo Cドライブ
MX100 Dドライブのワイ、隙がない。

647: Socket774 (ワッチョイ 0e32-NFc2) 2018/11/06(火) 06:48:19.23 ID:3pyT//D00
暗号化の話だから家庭で普通に使ってるぶんには関係ないな

649: Socket774 (ワッチョイ c711-zV7r) 2018/11/06(火) 06:55:11.87 ID:55WstxGi0
そりゃメジャーなメーカーのほうが解析されるしな

650: Socket774 (ワッチョイ 33cb-Vtlo) 2018/11/06(火) 06:57:19.91 ID:k7vEeeA10
IntelのX25-M G2ではHDDパスワード掛けると分鎮化するバグはあった
過去の事例に学ばない二社だな

651: Socket774 (ワッチョイ 6387-MyS3) 2018/11/06(火) 07:31:10.69 ID:nmbs8X4V0
そもそも暗号化機能自体がそんな使われとるんか・・・

652: Socket774 (ワッチョイ 33cb-Vtlo) 2018/11/06(火) 07:51:48.57 ID:k7vEeeA10
企業ではそれなりに使われてる
内規で必ずHDDパスワードで保護しないといけない会社は普通に良くある

今回のバグはHDDパスワード掛けた瞬間分鎮化とか、暗号化自体されないとかじゃないので騒ぎにはならんと思うが、
普通に盗まれたら暗号化されてないのと同じようなもんで確実にデータは抜かれる(抜かれてる)と思った方がいいね

引用元:http://egg.5ch.net/test/read.cgi/jisaku/1541195279/



スポンサード リンク