黄色直播软件

DataVault柔件AES

作者:admin    文章来源:未知    点击数:    更新时间:2022-01-13 13:39

钻研人员发现DataVault柔件中行使的AES-1024可被打破。

钻研人员Sylvain Pelissier发现ENC Security开发和被众个硬件设备厂商普及行使的DataVault添密柔件中存在坦然漏洞,抨击者行使该漏洞能够获取用户的暗号。

DataVault是由ENCSecurity公司开发的一款珍惜用户数据的高级添密柔件,据称能够始末1024位AES添密来为众个体系挑供军事级的数据珍惜和坦然特征。包括西数、索尼、Lexar雷克沙在内的厂商的USB设备和其他存储产品中都行使DataVault柔件。

近日,坦然钻研人员Pelissier 反向DataVault柔件后发现了2个坦然漏洞,漏洞CVE编号为CVE-2021-36750 和CVE-2021-36751。

DataVault默认是自力运走的。钻研人员始末反向发现行使的秘钥派生函数是PBKDF2,行使了1000轮的MD5来派生添密密钥。派生密钥所用的salt是常数,并且是硬编码在一切的解决方案和产品中的。所以,抨击者能够始末时间/内存抨击的手段来推想用户竖立的暗号,比如彩虹外,还能够用彩虹外来挑取行使该柔件的一切用户的暗号。

行使的数据添密算法也是易被抨击的,运走抨击者在不被检测到的情况下对文件进走凶意修改。数据添密算法中异国竖立数据完善性机制。该柔件的十足版本的竖立中批准用户选择4栽差别的坦然等级,AES-128、AES-256、AES-512、AES-1024。钻研人员始末反向发现添密手段是基于行使单个密钥的AES-128来组织的。添密的众轮会用密钥派生函数派生的秘钥行为初首向量来链接首来。钻研人员经太甚析发现这几栽模式最后只挑供了128位的坦然等级。

有关漏洞已经在DataVault 7.2版本中修复。

更众技术细节参见Pelissier在Remote Chaos Experience (rC3)在线会议上的演讲:

https://rc3.world/2021/public_fahrplan#3c5f6844-cdc8-5a1a-a342-d93b43546a82

本文翻译自:https://securityaffairs.co/wordpress/126166/hacking/datavault-encryption-software-flaws.html

【编辑选举】

鸿蒙官方战略配相符共建——HarmonyOS技术社区FTC 警告:Log4j2 的漏洞还不修,或将被采取法律走动哈萨克斯坦的添密矿工面临史无前例的情况移动行使坦然:2021年的坦然漏洞树莓派新用途,以极高的实在度检测凶意柔件抨击CISA主管:Log4j漏洞影响重大 坦然业面临一场持久战


    友情链接

    Powered by 禁忌乱情短篇合集小说-黄色直播软件-美女的奶没有遮挡 @2018 RSS地图 HTML地图

    Copyright 站群 © 2013-2021 365建站器 版权所有