web-dev-qa-db-ja.com

ロック画面を介したBitlocker違反の既知の事例はありますか?

シナリオ:Bitlockerで暗号化されたOSドライブを使用するWindowsユーザーは、Win + Lショートカットを使用してコンピューターをロックしますが、電源はオンのままにします。この時点で、彼らの家は襲撃されます(警察、泥棒、またはFBI、単にデータへのアクセスとそれを行うための適切な試みを開始するための技術的手段を取得したい人)。

質問:Bitlockerが有効になっている実行中のコンピューターに物理的にアクセスできる攻撃者がWindowsのログイン画面をバイパスし、コンピューターが既に実行中であったときに、コンピューター上のBitlockerで保護されたデータにアクセスできるという既知のケースはありませんでしたロックされているだけで、プロセス中にデバイスの電源を切らずに

注:私はDMAおよびコールドブート攻撃、または TPMをFPGAボードに配線する方法 を知っています。これらの攻撃は通常、ターゲットデバイスに電力を供給する必要がありますオフにすると、他のマウントされたボリュームは(たとえば、VeraCryptを介して)失われます。私のポイントは、Bitlockerを克服しようとする攻撃者は、Bitlockerの後ろにマウントされたVeraCryptボリュームがあると先制的に推測して電源を投入しないということです。 Bitlockerを最初に通過しようとして、ある時点でデバイスがダウンします。このサイトの他の質問は、Bitlockerで保護されたデバイス自体に機密データが保存されているシナリオにも関係しますが、私の質問は、データが別の場所に保存されているシナリオに由来しますディスク、異なる暗号化を使用し、Bitlocker対応のWindows OSは単なるゲートウェイです。

2
masiton

この主題についての良い紹介は、IvorKollár(2010)です: Forensic RAM dump image analyser この回答は主に彼の研究に基づいています。2.1.1章ロックされたWindowsコンピューターのこのケースに適用されるOSに依存しない方法について説明します。

  • ダイレクトメモリアクセスDMA攻撃では、コンピュータの電源をオフにする必要はありません。 PCI BUS(または技術的にはPCI BUS上にあるため、IEEE 1394)からメモリをダンプできるので、マウントされたVeraCryptボリュームでもキーをキャプチャすることができます。

  • コールドブートホットブートの両方の攻撃は、目標ができるだけ多くのメモリをダンプすることです。コンピュータは再起動されますが、攻撃はメモリが必ずしも空にならないという希望に基づいています。短所:これらは実際のフォレンジックのケースでは実用的ではない可能性があり、これらが成功するためには運も必要です。

メモリダンプから暗号化キーを抽出することは簡単で簡単なことではありませんが、これらの方法を使用してメモリの内容を取得したら、キーを紛失する恐れがない限り、無制限にキーを調査することができます。

1
Esa Jokinen