it-swarm.dev

Quanto è sicuro il blocco WD MyPassport

Ho un disco rigido WD My Passport. C'è un'opzione che ti consente di bloccare il tuo disco rigido con una password. Quanto è sicuro questo blocco? Non forniscono dettagli sull'algoritmo di crittografia o sul modo in cui il disco rigido viene bloccato.

30
S.I.Tsaklidis

Ciò che non è documentato, non è documentato. Tutto ciò che possiamo fare è dedurre.

Da la documentazione , vediamo che la password deve essere reinserita in una serie di condizioni (unità scollegata, computer spento, computer messo in sospensione ...) che si riduce a: l'unità era non alimentato in qualche momento. Ciò suggerisce una funzione di sicurezza eseguita sull'unità stessa, non nel software sul computer host. Pagina 27, vediamo anche che un'unità bloccata può ancora essere utilizzata su una macchina in cui il software WD non è installato, a condizione che si usi ancora il software per un'operazione di sblocco una tantum (questa applicazione viene mostrata dal disco rigido al computer come un CD-ROM virtuale emulato dal firmware USB sull'unità). Ciò rafforza l'idea che tutto si verifichi sull'unità.

La pagina 26 dello screenshot mostra un avviso per l'effetto che WD stesso non sarà in grado di recuperare i dati quando si perde una password, quindi è probabile che:

  • Il blocco utilizza la crittografia.
  • La crittografia utilizza una chiave che deriva più o meno direttamente dalla password dell'utente.

Poiché la password dell'utente può essere modificata (pagina 28) senza implicare una ricodifica completa del disco (richiederebbe un tempo non trascurabile, ad esempio un'ora), si può supporre che i dati dell'unità siano crittografati con un'unità specifica key [~ # ~] k [~ # ~], che non cambia mai, e quella chiave viene memorizzata da qualche parte sul disco (possibilmente in alcune EEPROM) crittografata con una chiave derivata da password. Quando il disco è sbloccato, [~ # ~] k [~ # ~] viene decrittografato con la password e conservato in alcuni RAM sul disco ( i dischi hanno RAM, diversi megabyte, anche solo per la memorizzazione nella cache). Si perde quando si interrompe l'alimentazione. Quando l'utente cambia la password, [~ # ~] k [~ # ~] è decrittografato con la vecchia password e nuovamente crittografato con la nuova. Quando la password viene rimossa, viene effettivamente sostituita con una password della convenzione (ovvero i dati sono sempre crittografati con [~ # ~] k [~ # ~] =).

Si tratta della quantità di ciò che può essere dedotto dalle informazioni. Quindi possiamo fare alcune ipotesi:

  • La crittografia con [~ # ~] k [~ # ~] non include l'integrità verificata (ovvero no MAC ) . Presumo questo perché un MAC richiede uno spazio aggiuntivo (solo pochi byte) che distruggerebbe i poteri di Nizza di due dimensioni di singoli settori. L'aggiunta di un MAC aumenterebbe probabilmente i costi di sviluppo o ridurrebbe le prestazioni o entrambi; dal momento che non se ne vantano, è probabile che non ci sia MAC.

  • La derivazione dalla password alla chiave che crittografa [~ # ~] k [~ # ~] è probabilmente debole, perché:

    • Una forte derivazione userebbe un sale casuale, che quindi richiede una fonte di casualità, e non vi è alcun motivo per avere un chip dedicato per la casualità sul disco. Essendo l'economia quella che sono, è probabile che non ci sia sale a caso.

    • Il processo di hash non può includere molte iterazioni perché dovrebbero essere calcolate dalla CPU integrata nell'unità, che non è altrettanto efficiente per lo scricchiolio dei numeri come un PC di base (di nuovo, economico).

    • Nonostante i ripetuti sforzi pedagogici, nessuno nel settore sembra essere in grado di eseguire correttamente l'hash delle password. Presto dovrò ricorrere a minacce; semplicemente non vogliono imparare.

  • La stessa crittografia si basa probabilmente su AES, perché ora ci sono dischi con una crittografia basata su AES sfoggiata, quindi i produttori di dischi hanno i chip e il know-how dedicati. L'uso di un altro algoritmo di crittografia sarebbe solo più costoso per loro, quindi è probabile che si astengano (lì, l'economia induce i venditori a fare la cosa giusta).

    • Nulla garantisce che AES sia stato usato correttamente. Buona crittografia del disco rigido necessita di alcune modalità di crittografia specifiche (qui si applicano anche gli argomenti relativi alla memoria aggiuntiva per un MAC e alla presenza di un RNG hardware: la crittografia probabilmente non è CBC con un IV casuale). Se il produttore avesse appena usato la BCE (una pessima idea in questo caso), non lo sapresti.

Conclusione: la funzione di blocco può essere buona, ma c'è un'alta probabilità che almeno parti del sistema siano debole (probabilmente la funzione di derivazione della password e la modalità di crittografia). Non è possibile costruire una ragionevole strategia di sicurezza su incognite, quindi un cauto dovrebbe preferire una soluzione basata su software in cui gli algoritmi coinvolti sono noti e applicati correttamente (ad es. TrueCrypt ).

Inoltre, si noti che il software utilizzato per sbloccare l'unità non sembra avere una versione Linux, quindi ciò potrebbe ridurre l'interoperabilità.

36
Tom Leek

Tom Leek sembra abbastanza previdente. È ormai fine 2015 e i ricercatori hanno puntato i riflettori sulle serie Western Digital My Passport e My Book in un documento intitolato:

hai ricevuto la crittografia HW? Sulla (in) sicurezza di una serie di unità con crittografia automatica

Questo post nella Mailing List di divulgazione completa contiene i dettagli: http://seclists.org/fulldisclosure/2015/Oct/79

Dalla mia lettura amatoriale, l'articolo ( https://eprint.iacr.org/2015/1002.pdf ) supporta la maggior parte delle inferenze di Tom e può probabilmente spiegare le osservazioni di zed_the_shredder (anche se non esattamente a supporto della conclusione).


Astratto

I dispositivi con crittografia automatica (SED) che eseguono la crittografia completa del disco stanno diventando sempre più diffusi. La crittografia AES implementata dall'hardware fornisce una crittografia rapida e trasparente di tutti i dati utente sul supporto di archiviazione, in qualsiasi momento. In questo documento esamineremo alcuni modelli in una serie di dischi rigidi esterni con crittografia automatica; la serie Western Digital My Passport. Descriveremo il modello di sicurezza di questi dispositivi e mostreremo diversi punti deboli di sicurezza come RAM, attacchi chiave deboli e persino backdoor su alcuni di questi dispositivi, con conseguente decodifica dei dati dell'utente, senza la conoscenza di alcun credenziali dell'utente.

Autori:

  • Gunnar Alendal
  • Christian Kison
  • modg

Molteplici vulnerabilità, tra cui:

  • Backdoor di autenticazione multipla, ignorando l'autenticazione con password
  • Attacchi di ripristino della chiave di fabbrica AES, esponendo i dati dell'utente su tutti i dispositivi interessati, indipendentemente dalla password dell'utente
  • Esposizione di PRNG HW utilizzati in contesti crittografici
  • Patching non autorizzato di FW, facilitando gli attacchi badUSB/male-maid
13
Ben Creswick

Eseguendo una copia di file di grandi dimensioni (1 GB) da C:\all'unità WD My Passport, prima e dopo l'applicazione della password, si può vedere che la crittografia viene sempre eseguita o NON eseguita affatto e solo il flag della password viene applicato all'interno del disco. La velocità di copia era la stessa.

Penso di aver sprecato i miei soldi su questa unità di crittografia hardware. Penso che la scelta di una semplice unità USB esterna sarebbe migliore insieme all'utilizzo del formato volume della partizione di sistema TrueCrypt.

1
Sunny Saini