Hardwarové řešení šifrování celého disku nabízené pro „self-encryption drives (SED)“ může být ohroženo nedostatky v šifrování těchto jednotek!

Hardwarové řešení šifrování celého disku nabízené pro „self-encryption drives (SED)“ může být ohroženo nedostatky v šifrování těchto jednotek!

 

Nedávno zveřejněný výzkum od Radboud University naznačuje, že hardwarové řešení šifrování celého disku nabízené pro „self-encryption drives (SED)“ může být ohroženo nedostatky v šifrování těchto jednotek. Tyto chyby zabezpečení mohou vést k neověřenému přístupu k datům v zašifrovaném zařízení bez znalosti hesel uživatele / kódu PIN / TPM. Všechna řešení šifrování s plným diskem, která využívají vestavěné možnosti šifrování SED, jsou proto také ohroženy. Zákazníci, kteří se zajímají o tento problém, by měli zvážit použití šifrování pouze softwaru, které poskytuje Sophos Central Device Encryption a Sophos SafeGuard Enterprise (při správě souborů BitLocker nebo FileVault).

Pro zákazníky, kteří již používají Sophos Device Encryption, je důležité si uvědomit, že BitLocker Drive Encryption ve výchozím nastavení používá hardwarové šifrování. Sophos proto doporučuje administrátorům, aby zvážili instalaci anebo upgrade firmware jednotky, nebo přešli na software-based šifrování celého disku.

U disků, které jsou již zašifrovány pomocí SED se zranitelnou formou hardwarového šifrování, může být zranitelnost zmírněna buď upgradem firmwaru jednotky podle dokumentace dodavatele nebo přechodem na softwarově orientované šifrování (Windows Group Policy / SGN Policy) a celý disk přešifrovat.

Pokud dodavatel nemůže poskytnout vhodnou aktualizaci firmwaru nebo není-li aktualizace firmwaru proveditelná, doporučujeme zákazníkům přejít na softwarově orientované šifrování. Zatímco nejsou popsanými vadami postiženi všichni výrobci, modely nebo revize „self-encryption“ jednotek, výkonnost takových jednotek je zanedbatelná ve srovnání se softwarově orientovaném šifrování v kombinaci s moderními procesory (s rozšířeními AES-NI ). Takže migrace na software řešení by měla způsobit pouze zanedbatelnou úroveň degradace výkonu.

Na následujíci stránce (https://community.sophos.com/kb/en-us/133070) naleznete:

Produkty Sophos Full Disk Encryption, které mohou být ovlivněny
Jak zjistit, zda je určitý disk potenciálně ovlivněn
Jak migrovat potenciálně ovlivněný disk do softwarového šifrování
Související informace
Zpětná vazba a kontakt

Platí pro následující produkty a verze Sophos:

SafeGuard BitLocker Client 6.0
SafeGuard BitLocker Client 7.0
SafeGuard BitLocker Client 8.0
SafeGuard BitLocker Client 8.1
Centrální systém Windows Encryption 1.3.90
Centrální šifrování zařízení Windows 1.4
SafeGuard Device Encryption 7.0
SafeGuard Device Encryption 8.0
Schránka zařízení SafeGuard 8.1