私は常にラップトップを休止状態にしています。起動を高速化するために、BitLockerで機密ドライブを暗号化しました。ラップトップが盗まれて攻撃者がそれが休止状態モードであることを知っていた場合、彼は私のハードディスクを解読できますか?
古い武術 Google-F を使用して、検索パラメーター「Bitlocker hibernation」を提供した後、1ページ目と2ページ目にこれらの2つのコメントを見つけることができました。
Microsoft Webサイト から:
スリープまたは休止状態の電源管理オプションを使用するとどのような影響がありますか?
オペレーティングシステムドライブのBitLockerは、基本構成(TPMを使用するが高度な認証を使用しない)で、休止状態モードのセキュリティを強化します。ただし、BitLockerは、休止状態モードで高度な認証モード(TPM + PIN、TPM + USB、またはTPM + PIN + USB)を使用するように構成されている場合、より優れたセキュリティを提供します。ハイバネーションからの復帰にはBitLocker認証が必要なため、この方法はより安全です。ベストプラクティスとして、スリープモードを無効にし、認証方法としてTPM + PINを使用することをお勧めします。
msdnウェブサイト から:
ハイバネーションでBitLocker詳細モードを使用する注:
これは、DRAM残留磁気およびその他のプラットフォーム攻撃からシステムを保護するための主要かつ最も効果的な方法です。 DRAMの暗号化キーにアクセスするプラットフォーム攻撃は、DRAMに存在するこれらのキーに明らかに依存しています。すべての実用的なディスク暗号化アプローチと同様に、これらの暗号化キーは、ディスク暗号化を使用可能にするパフォーマンスを提供するために、システムメモリに存在する必要があります。 BitLockerが詳細モードで構成されている場合、承認されたユーザーがPIN、ドングル、またはその両方などの資格情報を提供するまで、暗号化キーはシステムメモリに読み込まれません。これらの資格情報がない攻撃者は、システムを起動して、暗号化キーを含む機密情報がDRAMにある状態にすることはできません。ただし、いくつかの注意点があります。 1つは非常に実用的な脅威で、もう1つはそれほど脅威ではありません。承認されたユーザーがBitLocker資格情報で認証された後、所有者がオフにするか休止状態にする前に攻撃者がシステムにアクセスした場合、暗号化キーはDRAMにあり、攻撃者はプリンストンの研究者の「DRAM残留」の1つを使用する可能性があります攻撃、またはそれらのキーにアクセスするためのダイレクトメモリアクセス(DMA)などの他のプラットフォーム攻撃。これが、BitLockerの拡張モードを使用するときに「スリープ」ではなく「休止状態」を使用することが重要である理由です。スリープ移行のパフォーマンスを高めるために、BitLockerはRAMコンテンツを暗号化せず、スリープから復帰したときにBitLockerの再認証を必要としません。休止状態では、システムは事実上「オフ」であり、キーは物理メモリに常駐しません(これについてはすぐに説明する2番目の警告に行きます)。休止状態から再開するとき、BitLockerは前に説明した資格情報を必要とします。これらの資格情報がないと、暗号化キーはDRAMに読み込まれません。設計と実装の際、BitLockerチームはMicrosoft内の他のチームと協力して、ローカルポリシーとドメイン管理者がグループポリシーを通じてシステムの中断設定を完全に制御できるようにしました。これと他のBitLocker設定を構成する方法については、設計とBitLockerのオンラインドキュメントで利用可能な展開ガイド次に、2番目の警告について説明しましょう。これは、実用的な脅威ではありません。ここで、DRAMは数秒または数分の常温下で状態を保持することがあります。攻撃者がこのウィンドウ内でラップトップにアクセスすると、DRAMにある情報にアクセスできる可能性があります。この場合も、攻撃者がこれを悪用するリスクは、他のプラットフォームの脅威に比べて低くなっています。繰り返しますが、これは、DRAM残留やその他のプラットフォーム攻撃からシステムを保護するための主要かつ最も効果的な方法です。
ベストプラクティスは、心配していることに依存します。
スリープモードの危険性は、キーがまだメモリ内にあり、その専門知識を持つ攻撃者が抽出できることです。ハイバネーションは、すべてのシナリオでそのリスクを大幅に軽減します。 Lucas Kauffmanの回答が示すように、高度なBitLocker実装モードを使用すると、追加のセキュリティが提供されるだけでなく、DMAアクセスを容易に取得したり、それらのメカニズム(Firewire)を回避したりするためのメカニズムを無効にする)などの対策を講じることができます。
リスクの管理はあなた次第です。泥棒が主に物理的なデバイスに関心を持っていることを心配している場合は、それについてあまり心配する必要はありません。営業秘密などを保護する場合は、ドキュメントを注意深く読み、コンピュータを適切に実装して操作する必要があります。