『WIRED』が商務省産業安全保障局に問い合わせたところ、広報担当者は、BISは特定の企業について報道機関にコメントすることを法律で制限されており、イニシオのような企業の非上場子会社は技術的には実体による影響を受けないと答えた。リストの法的制限。 しかし広報担当者は、「一般論として、企業上場団体との提携は『危険信号』とみなされるべきだ」とも付け加えた。
Hualan の Initio チップは、いわゆるブリッジ コントローラーとして暗号化ストレージ デバイスで使用され、ストレージ デバイスの USB 接続とメモリ チップまたは磁気ドライブの間に配置され、USB サムドライブまたは外付けハード ドライブ上のデータを暗号化および復号化します。 セキュリティ研究者らの調査によると、Lenovo、Western Digital、Verbatim、Zalman などのストレージ デバイス メーカーはいずれも、Initio が販売する暗号化チップを使用していたことがあることが判明しました。
しかし、特にあまり知られていないハードドライブメーカー 3 社も Initio チップを統合しており、西側政府、軍、諜報機関を顧客として挙げています。 英国ミドルセックスに拠点を置くハードドライブメーカー iStorage は、NATO や英国国防省を含む顧客を Web サイトにリストしています。 カリフォルニア州サウスパサデナに本拠を置く SecureDrive は、米国陸軍と NASA を顧客として挙げています。 そして、米国連邦調達記録によると、カリフォルニア州ポーウェイに本拠を置くApricorn社は、Initioチップを使用する暗号化ストレージ製品をNASA、海軍、FAA、DEAなどに販売している。
これらのドライブの Initio チップによって有効になる暗号化機能は、ドライブが物理的にアクセスされたり、紛失したり、盗難に遭ったりした場合にデータを侵害から保護するように設計されています。 しかし、その暗号化機能の安全性は本質的に、チップの設計者を信頼するかどうかに依存している、と暗号化の専門家は警告する。 チップに秘密の脆弱性や意図的なバックドアがあった場合、それを使用するドライブ (ドライブは多くの場合「現場で」使用するために販売されています) を手に入れた者がその機能を破ることができてしまいます。 そして、そのバックドアは、たとえ綿密に検査したとしても、検出するのが非常に難しい可能性があると暗号学者は指摘しています。
「結局のところ、すべての機密データを扱うこのベンダーとそのコンポーネントを実際に信頼できるかどうかは、信頼の問題です」と、ドイツのサイバーセキュリティ企業 Syss のセキュリティ研究者で、Initio チップを分析した Matthias Deeg 氏は述べています。 「この種のマイクロコントローラーは、私やこのデバイスがどのように機能するかを理解しようとしている他の研究者にとってはブラックボックスです。」
昨年、ディーグ氏は、Initio チップを使用する Verbatim セキュア USB サムドライブの最初のファームウェアを分析し、複数のセキュリティ脆弱性を発見しました。その 1 つは、ドライブ上の指紋リーダーまたは PIN をすぐにバイパスし、設定されている「管理」パスワードにアクセスできるものでした。ドライブ用のマスター パスワード機能は、IT 管理者がユーザーのデバイスを復号化できるように設計されています。 別の欠陥により、彼はドライブの復号化キーを「総当たり攻撃」して、最長 36 時間以内にコンテンツにアクセスするためのキーを導き出すことができました。
その後、Initio はそれらの脆弱性を修正したとディーグ氏は述べています。 しかし、もっと問題だったのは、デバイスのファームウェアの分析を行うのがいかに難しいかだった、と彼は言います。 このコードには公開文書がなく、Hualan 氏はさらなる情報の要求に応じなかった。 ディーグ氏は、透明性の欠如は、チップ内のハードウェアベースのバックドア、たとえば、こっそり解読を可能にする物理設計に隠された極小コンポーネントなどを見つけるのがいかに難しいかを示していると述べた。