Czy blokowanie lub przełączanie komputera w tryb uśpienia jest bezpieczne przy pełnym szyfrowaniu dysku?

Odpowiedzi:

5

Pełne szyfrowanie dysku z konieczności wymaga klucza w pamięci RAM do szyfrowania / deszyfrowania danych w czasie rzeczywistym.

Więc -

  • Firewire ma tryb podobny do DMA, który zasadniczo umożliwia skanowanie całej pamięci RAM systemu. Pełne klucze dysku można odzyskać z pamięci RAM systemu docelowego, jeśli jest on podłączony przez Firewire do hosta z odpowiednim oprogramowaniem, a system docelowy ma sterownik Firewire, który to obsługuje. Twój system jest na to narażony, jeśli jest zablokowany. Nie jestem pewien, czy Firewire odczytuje pamięć RAM podczas snu.

  • Jeśli system jest w stanie hibernacji, cała pamięć RAM jest zrzucana do pliku hibernacji przed wyłączeniem zasilania. Uważam, że Truecrypt w jakiś sposób zaznacza strony swojego sterownika, aby temu zapobiec, ale tak długo, jak trzymasz plik hibernacji na zaszyfrowanym woluminie, powinieneś być bezpieczny.

  • Po wyłączeniu zasilania pamięć DRAM potrzebuje trochę czasu. Teoretycznie przeciwnik może usunąć pamięć RAM z systemu. ewentualnie spryskać je powietrzem w puszce, aby obniżyć temperaturę i wydłużyć szybkość zaniku, i umieścić go w systemie lub narzędziu, które skanuje pamięć RAM i wyodrębnia stamtąd klucze. Możliwe jest również włączenie i wyłączenie zasilania systemu, rozruch z płyty CD na żywo i odzyskanie w ten sposób kluczy z pamięci RAM.

Jeśli pamięć RAM jest wyłączona i zanikła wystarczająco, nie można uzyskać z niej kluczy, a zaszyfrowane dane są w tej sytuacji bezpieczne.

Oczywiście pierwszy i trzeci element to elementy poziomu kapelusza z folii aluminiowej, ale aby temu zapobiec, należy całkowicie wyłączyć system, gdy go nie używasz, i uruchomić program Memtest86 + lub diagnostykę systemu, aby wyczyścić pamięć RAM. Co najmniej jedna skoncentrowana na bezpieczeństwie dystrybucja Linuksa robi to przed wyłączeniem zasilania, nie mogę wymyślić jej nazwy.

Szyfrowanie pełnego dysku chroni przed tym, że ktoś wyjmie dysk twardy z systemu i spróbuje odczytać go w innym systemie, gdy śpi, jeśli nie wyodrębni kluczy bezpośrednio z pamięci RAM, co jest operacją zaawansowaną.

LawrenceC
źródło
1

Odpowiedziałem na podobne pytanie tutaj :

Podczas gdy zawartość dysku jest szyfrowana, system operacyjny odszyfrowuje zawartość dysku w locie, aby uzyskać do niego dostęp. Blokada ekranu nie chroni zawartości dysku podczas pracy komputera.

Blokada ekranu nie pozwala nikomu uruchamiać programów / czytać ekranu, gdy jesteś daleko. Dopóki komputer jest uruchomiony i zamontowany jest zaszyfrowany dysk, dane są podatne na ataki. Przyznano, że większość złodziei po prostu wyłączy maszynę / uruchomi ją ponownie, gdy tylko będą mieli.

Jeśli jednak masz obsesję na punkcie swoich danych, niedogodności związane z wyłączaniem / włączaniem zasilania za każdym razem, gdy odejdziesz na jakiś czas, to niewielka cena za IMHO.

Fakt, że większość obecnych metod pełnego szyfrowania dysku wykorzystuje pamięć RAM do przechowywania kluczy, czyni je tylko częściowo zabezpieczonymi podczas działania systemu. Dostęp DMA przez Firewire lub magistralę PCI jest możliwy, gdy system jest uruchomiony i nie tak jak kapelusz z folii aluminiowej, jak niektórzy mogą sugerować. Było świetnie porozmawiaj w Defcon 21 w odniesieniu do problemu i prac wykonywanych w celu jego złagodzenia (slajdy do prezentacji prawdopodobnie pojawią się na stronie archiwa wkrótce jednak).

Justin Pearce
źródło
0

Nie, jak zauważyli inni, przeciwnik z fizycznym dostępem do maszyny może zrobić prawie wszystko z danymi w pamięci RAM.

Po hibernacji komputera buforuje on aktywny dysk na dysku twardym. ponieważ klucz znajduje się w aktywnym pamięci RAM, umieszczasz klucz w pliku na dysku twardym, który nigdy nie znika. Istnieją narzędzia przeznaczone do włamywania się do woluminów Truecrypt, które drapią ramkę dla klucza, a jeśli wolumin nie jest zamontowany, wróci do sprawdzenia hiberfil.sys w systemie Windows, aby sprawdzić, czy był on buforowany na dysku podczas ostatniej hibernacji.

FDE jest problemem, ponieważ klucz będzie zawsze obecny w pamięci RAM iz tego samego powodu zawsze zostanie skopiowany do hiberfill.sys podczas zawieszenia / hibernacji.

zobacz ten wątek, aby zobaczyć przykłady ataków praktycznych i pełniejsze wyjaśnienie: Pękanie plików truecrypt w ciągu kilku minut? Lub po prostu zaufaj dyskom twardym w kilka minut?

Frank Thomas
źródło
FDE is a problem because your key will always be present in ram, and for that same reason, it will always get copied to hiberfill.sys on suspend/hibernate. Dobrze, ale czy punkt @ LawrenceC, który z FDE hiberfil.sys nie jest na dysku szyfrowanym, jest poprawny? Po uruchomieniu hibernowanego komputera z TrueCrypt FDE należy podać klucz szyfrowania. Czy ktoś nie musiałby najpierw odszyfrować woluminu, aby odczytać klucze z hiberfil.sys (w takim przypadku fakt, że hiberfil.sys zawiera klucze jest akademicki)?
Adi Inbar
BTW, chciałbym wyjaśnić, że ta dyskusja dotyczy tylko hibernacji, a nie zawieszenia lub snu. Umieszczenie komputera FDE w trybie uśpienia (Windows) lub zawieszenia (Linux) pozostawia klucze odsłonięte, ale to dlatego, że nie usuwa pamięci RAM; nic nie jest zapisywane w hiberfil.sys ani w przestrzeni wymiany.
Adi Inbar
Sen i hibernacja są różne. Spanie lub blokowanie komputera powoduje, że system jest uruchamiany, więc klucze są nadal w pamięci RAM i dostępne dla każdej złej pokojówki: ataku schneier.com/blog/archives/2009/10/evil_maid_attac.html
Frank Thomas