文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

DataVault软件AES-1024加密算法现实攻击

2024-12-02 09:37

关注

研究人员发现DataVault软件中使用的AES-1024可被打破。

研究人员Sylvain Pelissier发现ENC Security开发和被多个硬件设备厂商广泛使用的DataVault加密软件中存在安全漏洞,攻击者利用该漏洞可以获取用户的密码。

DataVault是由ENCSecurity公司开发的一款保护用户数据的高级加密软件,据称可以通过1024位AES加密来为多个系统提供军事级的数据保护和安全特征。包括西数、索尼、Lexar雷克沙在内的厂商的USB设备和其他存储产品中都使用DataVault软件。

近日,安全研究人员Pelissier 逆向DataVault软件后发现了2个安全漏洞,漏洞CVE编号为CVE-2021-36750 和CVE-2021-36751。

DataVault默认是独立运行的。研究人员通过逆向发现使用的秘钥派生函数是PBKDF2,使用了1000轮的MD5来派生加密密钥。派生密钥所用的salt是常数,并且是硬编码在所有的解决方案和产品中的。因此,攻击者可以通过时间/内存攻击的方式来猜测用户设置的密码,比如彩虹表,还可以用彩虹表来提取使用该软件的所有用户的密码。

使用的数据加密算法也是易被攻击的,运行攻击者在不被检测到的情况下对文件进行恶意修改。数据加密算法中没有设置数据完整性机制。该软件的完全版本的设置中允许用户选择4种不同的安全等级,AES-128、AES-256、AES-512、AES-1024。研究人员通过逆向发现加密方法是基于使用单个密钥的AES-128来构造的。加密的多轮会用密钥派生函数派生的秘钥作为初始向量来链接起来。研究人员经过分析发现这几种模式最终只提供了128位的安全等级。

相关漏洞已经在DataVault 7.2版本中修复。

更多技术细节参见Pelissier在Remote Chaos Experience (rC3)在线会议上的演讲:

https://rc3.world/2021/public_fahrplan#3c5f6844-cdc8-5a1a-a342-d93b43546a82

本文翻译自:https://securityaffairs.co/wordpress/126166/hacking/datavault-encryption-software-flaws.html

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯