Kilka znacz�cych firm, jak Kingston, SanDisk oraz Verbatim posiadaj� w swojej sprzeda�y pendrive'y kt�re zabezpieczaj� przechowywane w nich dane przy pomocy algorytmu symetrycznego AES 256.

Dla podkre�lenia bezpiecze�stwa oznaczone s� one oznaczone certyfikatem FIPS 140-2 Level 2 wydawanym przez National Institute of Standards and Technology (NIST). Dzi�ki temu u�ytkownik ma dostawa� gwarancj�, �e jego dane s� przechowywane na urz�dzeniach do trzymania danych poufnych przeznaczonych dla administracji pa�stwowej. Niestety pewnej firmie SySS uda�o si� udowodni�, �e bez znajomo�ci has�a, istnieje mo�liwo�� dokopania si� do poufnych danych.

Wiadomo jest, �e z�amanie samego szyfrowania algorytmem AES 256 do trywialnych nie nale�y i jest praktycznie niemo�liwe. Z tego te� powodu eksperci SySS skupili si� nie na samym szyfrowaniu a na aplikacji Windowsowej wprowadzania has�a do szyfrowania. W aplikacji tej uda�o si� znale�� pewien b��d, gdzie po uwierzytelnieniu i wykonaniu szeregu funkcji kryptograficznych do wszystkich pendrive'�w wysy�any by� ten sam �a�cuch znak�w. Po stworzeniu odpowiedniego narz�dzia ingeruj�cego w ten program, zadbano aby do no�nika zawsze by� wysy�any ten sam ci�g znak�w. W tym momencie uzyskano dost�p do wszystkich danych.

Problem dotyczy� m.in. Kingston DataTraveler BlackBox, SanDisk Cruzer Enterprise FIPS Edition i Verbatim Corporate Secure FIPS Edition. Kingston po zawiadomieniu o problemie rozpocz�� wycofywanie produkt�w z rynku, za� SanDisk i Verbatim wyda�y lakoniczny komunikat oraz aktualizacj� oprogramowani. Verbatim podkre�la tak�e, �e �aden z podatnych dysk�w nie jest sprzedawany w Europie i nie b�dzie do czasu pe�nego usuni�cia luki.

�r�d�o: heise-online