在其他情况下，研究人员可以通过这两种方法来获取密钥：一种方法是改动SSD的固件，另一种是钻代码注入漏洞的空子，该漏洞还让攻击者得以改动密码检查程序，这两种方法都需要将SSD搞到手。

SSD解密测试的结果

Crucial SSD和三星SSD的测试结果

研究人员在论文中表示，要保护这些设备，一种可行的方法是，确保解密SSD所需的秘密信息没有存储在设备本身上面。这可以通过使用全盘加密软件来实现，这种软件在主机上运行，在数据进入SSD之前和离开SSD之后加密和解密数据，使用源自用户提供的口令短语的密钥。

论文解释：“本论文给出的结果表明，人们不应该仅仅依赖SSD提供的硬件加密来确保机密性。我们建议依赖SSD中所用的硬件加密机制的用户还使用软件全盘加密解决方案，最好是经过审查的开源解决方案。”

而遗憾的是，这两名研究人员还特别指出，一些流行的数据加密系统（包括微软在Windows 10中使用的BitLocker工具）并不为SSD使用软件加密，而是依赖SSD易受攻击的硬件加密。

现在说真的：微软信任这些存储设备实施Bitlocker肯定是这家公司迄今做过的最愚蠢的一件事。这就好比拿着雨伞而不是背着降落伞从飞机上跳下来。

在这种情况下，梅杰和范•加斯特尔建议用户和管理员改而使用像VeraCrypt这样的软件加密解决方案。

“尤其是，VeraCrypt允许在操作系统运行时进行就地加密（in-place encryption），并且与硬件加密一起使用。此外，即使通过调整组策略（Group Policy）设置来支持硬件加密，BitLocker用户也应更改首选项以强制执行软件加密。”

现在说真的：微软信任这些存储设备实施Bitlocker肯定是这家公司迄今做过的最愚蠢的一件事。这就好比拿着雨伞而不是背着降落伞从飞机上跳下来。

在这种情况下，梅杰和范•加斯特尔建议用户和管理员改而使用像VeraCrypt这样的软件加密解决方案。

“尤其是，VeraCrypt允许在操作系统运行时进行就地加密（in-place encryption），并且与硬件加密一起使用。此外，即使通过调整组策略（Group Policy）设置来支持硬件加密，BitLocker用户也应更改首选项以强制执行软件加密。”

其中一位研究人员伯纳德•范•加斯特尔在发给IT外媒The Register的电子邮件中告诉我们：

因限于我们的专业知识（比如这些SSD中所用的Arm架构方面的知识），我们只分析了上述几款SSD。话虽如此，使用的TCG Opal标准正确实施起来却很难。该规范有诸多要求，而且相当复杂。

一种更简单的标准将帮助供应商实施并使这些实施更安全。从安全的角度来看，应公开提供一种参考实施，那样安全界可以参考设计及其实施。这样一来，供应商更容易实施这些加密方案。

我们对使用SSD中硬件加密的所有用户给出的一般建议是，不仅仅要依赖目前提供的硬件加密，还要采取另外的措施，比如安装VeraCrypt软件加密解决方案。

论文全文：

安全行业交流群欢迎加入，群主微信：aclood（备注任职单位+职位，否则不予通过）返回搜狐，查看更多