web-dev-qa-db-ja.com

Truecryptが侵害されましたか? (コールドブート攻撃)

最近の開発 コンピュータフォレンジックおよび「パスワード回復」ユーティリティの観点から、TrueCryptなどの暗号化テクノロジーは、高度な保護に依拠できますか?

デバイスのRAM(シャットダウン後も)から復号化キーを取得する機能は、ハードウェアベースの暗号化ソリューションが将来の道になることを意味するように思えます。

11
nitrl

trueCryptなどの暗号化技術を高度な保護に依拠することはできますか?

はい、Truecryptからどのような保護を取得しているのか正確に理解している必要があります。

暗号化はアクセス制御ではなく、電源が入っている間はシステムを保護しません。キーマテリアルをコンピューターの近くに配置すると(たとえば、入力、メモリへの読み込みなど)、コンピューターがキーマテリアルを含んでいるものとして扱う必要があります。

したがって、コンピュータのRAMを抽出できるものはすべて、このキーマテリアルを読み取ることができます。これは、リモートで驚くべきことではありません。かなりの方法でtruecryptドライバコードを調べました(私は使用する静的に割り当てられたスタックバッファーを承認しない、ExAllocatePoolWithTagを優先する必要がありますが、何を知っているのですか?)ボリュームキーをメモリからプルするドライバーを作成することはそれほど難しくありませんtruecryptが実行されているシステム。

ディスクの暗号化を有効にするには、次の2つのことを行う必要があります。

  1. データへのアクセスを禁止したい人に見られる可能性がある場合は、キーマテリアルをシステムに添付しないでください。
  2. データが盗まれたら、システムの電源を切ります。

カジュアルな日和見的な泥棒に対しては、デバイスを使用しているときには問題の泥棒がほとんどいないため、デフォルトでポイント1が発生します。これにより、たとえば、電源がオフになっているラップトップを盗む日和見的な窃盗犯は一部のハードウェアを入手し、一部のデータは入手しないため、盗まれたラップトップに対するディスク暗号化は優れた防御になります。

ただし、決定された攻撃者、またはサイバー文学が高度な永続的脅威と呼ぶものには、観察するためのリソースがある可能性があります1.これは、いくつかの方法による可能性があります。

  1. ハードウェアキーロガー、カメラなどを含むキーマテリアルを入力した場所を盗聴します。
  2. 古き良きものを利用してRAMを取り外し、それをフリーズします。電源を切った後も、システムメモリを保持するためのテクニックは何でも。
  3. 電源が入っているときにシステムを危険にさらす-firewire、マルウェアなど。

これは、ディスク暗号化が使用されている限り当てはまり、ディスク暗号化が現在の形式で使用されている限り当てはまります。暗号化はこれらの脅威からあなたを保護しません-これらのためには、マルウェアへのアクセスを防ぐための適切なアクセス制御、適切な監査手順、適切なセキュリティ慣行、適切な物理的セキュリティなどが必要です。

ちょっとした更新で、さらに楽しく:

ハイバネーションは 既知の攻撃ベクトル であり、実装に応じて最新のオペレーティングシステムでは セキュアブートを完全に詰め込みます です。これで行われた作業は、 ページファイルを変更してコードをロードすることによりPatchguardをバイパスする であるという事実から派生しました。

これらの2つの場合のストーリーのモットーは、オペレーティングシステムがCPUの制御を持たない限り、ディスクからロードする状態を信頼できないことです。

休止状態はメモリ内のキーにどのように影響しますか?これは、ハイバネーションファイルが暗号化されたドライブに存在するかどうかによって異なります。正常に機能する場合は、キーを再入力して暗号化を解除する必要があります(また、休止状態ファイルの攻撃ベクトルも防止されます)。そうでない場合、キーがハイバネーションファイルに書き込まれていると問題が発生します。そうでない場合でも、重大なリソースを持つ十分に決定された攻撃者はおそらくそれを利用できるため、大規模な安全性は確保できません。

18
user2213