Używam Truecrypt do pełnego szyfrowania dysków mojego komputera. Czy można bezpiecznie spać lub zablokować mój komputer, czy też pozwolić komuś pominąć szyfrowanie dysku i uzyskać dostęp do danych na dyskach, tak jakby nie były szyfrowane?
3
Odpowiedzi:
Pełne szyfrowanie dysku z konieczności wymaga klucza w pamięci RAM do szyfrowania / deszyfrowania danych w czasie rzeczywistym.
Więc -
Firewire ma tryb podobny do DMA, który zasadniczo umożliwia skanowanie całej pamięci RAM systemu. Pełne klucze dysku można odzyskać z pamięci RAM systemu docelowego, jeśli jest on podłączony przez Firewire do hosta z odpowiednim oprogramowaniem, a system docelowy ma sterownik Firewire, który to obsługuje. Twój system jest na to narażony, jeśli jest zablokowany. Nie jestem pewien, czy Firewire odczytuje pamięć RAM podczas snu.
Jeśli system jest w stanie hibernacji, cała pamięć RAM jest zrzucana do pliku hibernacji przed wyłączeniem zasilania. Uważam, że Truecrypt w jakiś sposób zaznacza strony swojego sterownika, aby temu zapobiec, ale tak długo, jak trzymasz plik hibernacji na zaszyfrowanym woluminie, powinieneś być bezpieczny.
Po wyłączeniu zasilania pamięć DRAM potrzebuje trochę czasu. Teoretycznie przeciwnik może usunąć pamięć RAM z systemu. ewentualnie spryskać je powietrzem w puszce, aby obniżyć temperaturę i wydłużyć szybkość zaniku, i umieścić go w systemie lub narzędziu, które skanuje pamięć RAM i wyodrębnia stamtąd klucze. Możliwe jest również włączenie i wyłączenie zasilania systemu, rozruch z płyty CD na żywo i odzyskanie w ten sposób kluczy z pamięci RAM.
Jeśli pamięć RAM jest wyłączona i zanikła wystarczająco, nie można uzyskać z niej kluczy, a zaszyfrowane dane są w tej sytuacji bezpieczne.
Oczywiście pierwszy i trzeci element to elementy poziomu kapelusza z folii aluminiowej, ale aby temu zapobiec, należy całkowicie wyłączyć system, gdy go nie używasz, i uruchomić program Memtest86 + lub diagnostykę systemu, aby wyczyścić pamięć RAM. Co najmniej jedna skoncentrowana na bezpieczeństwie dystrybucja Linuksa robi to przed wyłączeniem zasilania, nie mogę wymyślić jej nazwy.
Szyfrowanie pełnego dysku chroni przed tym, że ktoś wyjmie dysk twardy z systemu i spróbuje odczytać go w innym systemie, gdy śpi, jeśli nie wyodrębni kluczy bezpośrednio z pamięci RAM, co jest operacją zaawansowaną.
źródło
Odpowiedziałem na podobne pytanie tutaj :
Fakt, że większość obecnych metod pełnego szyfrowania dysku wykorzystuje pamięć RAM do przechowywania kluczy, czyni je tylko częściowo zabezpieczonymi podczas działania systemu. Dostęp DMA przez Firewire lub magistralę PCI jest możliwy, gdy system jest uruchomiony i nie tak jak kapelusz z folii aluminiowej, jak niektórzy mogą sugerować. Było świetnie porozmawiaj w Defcon 21 w odniesieniu do problemu i prac wykonywanych w celu jego złagodzenia (slajdy do prezentacji prawdopodobnie pojawią się na stronie archiwa wkrótce jednak).
źródło
Nie, jak zauważyli inni, przeciwnik z fizycznym dostępem do maszyny może zrobić prawie wszystko z danymi w pamięci RAM.
Po hibernacji komputera buforuje on aktywny dysk na dysku twardym. ponieważ klucz znajduje się w aktywnym pamięci RAM, umieszczasz klucz w pliku na dysku twardym, który nigdy nie znika. Istnieją narzędzia przeznaczone do włamywania się do woluminów Truecrypt, które drapią ramkę dla klucza, a jeśli wolumin nie jest zamontowany, wróci do sprawdzenia hiberfil.sys w systemie Windows, aby sprawdzić, czy był on buforowany na dysku podczas ostatniej hibernacji.
FDE jest problemem, ponieważ klucz będzie zawsze obecny w pamięci RAM iz tego samego powodu zawsze zostanie skopiowany do hiberfill.sys podczas zawieszenia / hibernacji.
zobacz ten wątek, aby zobaczyć przykłady ataków praktycznych i pełniejsze wyjaśnienie: Pękanie plików truecrypt w ciągu kilku minut? Lub po prostu zaufaj dyskom twardym w kilka minut?
źródło
FDE is a problem because your key will always be present in ram, and for that same reason, it will always get copied to hiberfill.sys on suspend/hibernate.
Dobrze, ale czy punkt @ LawrenceC, który z FDE hiberfil.sys nie jest na dysku szyfrowanym, jest poprawny? Po uruchomieniu hibernowanego komputera z TrueCrypt FDE należy podać klucz szyfrowania. Czy ktoś nie musiałby najpierw odszyfrować woluminu, aby odczytać klucze z hiberfil.sys (w takim przypadku fakt, że hiberfil.sys zawiera klucze jest akademicki)?