Kilka znaczących firm, jak Kingston, SanDisk oraz Verbatim posiadają w swojej sprzedaży pendrive'y które zabezpieczają przechowywane w nich dane przy pomocy algorytmu symetrycznego AES 256.

Dla podkreślenia bezpieczeństwa oznaczone są one oznaczone certyfikatem FIPS 140-2 Level 2 wydawanym przez National Institute of Standards and Technology (NIST). Dzięki temu użytkownik ma dostawać gwarancję, że jego dane są przechowywane na urządzeniach do trzymania danych poufnych przeznaczonych dla administracji państwowej. Niestety pewnej firmie SySS udało się udowodnić, że bez znajomości hasła, istnieje możliwość dokopania się do poufnych danych.

Wiadomo jest, że złamanie samego szyfrowania algorytmem AES 256 do trywialnych nie należy i jest praktycznie niemożliwe. Z tego też powodu eksperci SySS skupili się nie na samym szyfrowaniu a na aplikacji Windowsowej wprowadzania hasła do szyfrowania. W aplikacji tej udało się znaleźć pewien błąd, gdzie po uwierzytelnieniu i wykonaniu szeregu funkcji kryptograficznych do wszystkich pendrive'ów wysyłany był ten sam łańcuch znaków. Po stworzeniu odpowiedniego narzędzia ingerującego w ten program, zadbano aby do nośnika zawsze był wysyłany ten sam ciąg znaków. W tym momencie uzyskano dostęp do wszystkich danych.

Problem dotyczył m.in. Kingston DataTraveler BlackBox, SanDisk Cruzer Enterprise FIPS Edition i Verbatim Corporate Secure FIPS Edition. Kingston po zawiadomieniu o problemie rozpoczął wycofywanie produktów z rynku, zaś SanDisk i Verbatim wydały lakoniczny komunikat oraz aktualizację oprogramowani. Verbatim podkreśla także, że żaden z podatnych dysków nie jest sprzedawany w Europie i nie będzie do czasu pełnego usunięcia luki.

Źródło: heise-online