DataVault软件AES-1024加密算法现实进攻
发布时间:2022-01-15 08:49:10 所属栏目:安全 来源:互联网
导读:研究人员发现DataVault软件中使用的AES-1024可被打破。 研究人员Sylvain Pelissier发现ENC Security开发和被多个硬件设备厂商广泛使用的DataVault加密软件中存在安全漏洞,攻击者利用该漏洞可以获取用户的密码。 DataVault是由ENCSecurity公司开发的一款保护
|
研究人员发现DataVault软件中使用的AES-1024可被打破。 研究人员Sylvain Pelissier发现ENC Security开发和被多个硬件设备厂商广泛使用的DataVault加密软件中存在安全漏洞,攻击者利用该漏洞可以获取用户的密码。 DataVault是由ENCSecurity公司开发的一款保护用户数据的高级加密软件,据称可以通过1024位AES加密来为多个系统提供军事级的数据保护和安全特征。包括西数、索尼、Lexar雷克沙在内的厂商的USB设备和其他存储产品中都使用DataVault软件。近日,安全研究人员Pelissier 逆向DataVault软件后发现了2个安全漏洞,漏洞CVE编号为CVE-2021-36750 和CVE-2021-36751。 DataVault默认是独立运行的。研究人员通过逆向发现使用的秘钥派生函数是PBKDF2,使用了1000轮的MD5来派生加密密钥。派生密钥所用的salt是常数,并且是硬编码在所有的解决方案和产品中的。因此,攻击者可以通过时间/内存攻击的方式来猜测用户设置的密码,比如彩虹表,还可以用彩虹表来提取使用该软件的所有用户的密码。 使用的数据加密算法也是易被攻击的,运行攻击者在不被检测到的情况下对文件进行恶意修改。数据加密算法中没有设置数据完整性机制。该软件的完全版本的设置中允许用户选择4种不同的安全等级,AES-128、AES-256、AES-512、AES-1024。研究人员通过逆向发现加密方法是基于使用单个密钥的AES-128来构造的。加密的多轮会用密钥派生函数派生的秘钥作为初始向量来链接起来。研究人员经过分析发现这几种模式最终只提供了128位的安全等级。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号