web-dev-qa-db-ja.com

暗号化されたハードディスクを使用して、Windowsを「スリープ」モードにした場合、データは安全ですか

ブートパーティションとデータパーティションの両方がTrueCryptで暗号化されています。パスワードが長いので、できる限りシステムの再起動を避けています。 (たとえば)昼食に行くとき、ラップトップを「スリープ」モードにしており、Windowsに戻るにはWindowsパスワードを入力する必要があります。 (私のWindowsパスワードは脆弱です。私のアカウントに子供たちを近づけないようにすることは何よりも重要です。)

私はWindowsパスワードを簡単に削除できるソフトウェアを知っていますが、再起動せずにパスワードを削除できるような方法は知りません。 (彼らが私のマシンを再起動した場合、彼らは私のTrueCryptパスワードを再入力する必要があります。)「スリープ」モードでのみ、私のコンピューターからデータを取得するために敵はどれほど高度でなければならないでしょうか?

windowstruecrypt
36
adam.baker

事実上すべてのディスク暗号化ツールについて、暗号化キーはRAM=コンピュータに使用中またはスリープモードにあるときに保存されます。もちろん、これはかなりの脆弱性をもたらします。あなたのRAMの内容をそのまま保ちながら、RAMダンプからキーを抽出できる可能性があります Elcomsoft Forensic Disk Decryptor これは、Truecrypt、Bitlocker、およびPGPキーを抽出すると主張しています。

これから身を守るためには、攻撃者がRAMダンプを取得するのをより困難にする必要があります。RAMダンプを取得する最も簡単な方法は、多くのフォレンジックツールキット(これも無料で入手可能)に付属するソフトウェアプログラムを使用します。ただし、これらのプログラムを実行するには、まずコンピューターのロックを解除する必要があります。コンピューターのロックを解除して実行できない場合プログラムは、RAMダンプユーティリティを起動できません。このため、強力なWindowsロック画面のパスワードを持つことが重要です!

(また、現実的で明白であることを示すために、ロック画面のパスワードも重要です。攻撃者がパスワードを推測できる場合、その場でファイルのコピーを取得するだけで、暗号化を見つけることさえ心配しないためです。キー。データの取得に関心があるありふれた泥棒にとって、これはおそらく最も現実的な脅威ですIMO)

より洗練された方法は コールドブート攻撃 ;を使用することです。これは、電源を切ってもメモリの内容がしばらくの間(RAMが冷媒で冷却されている場合は数秒から数時間)存続するという事実を利用しています。その後、攻撃者はWindowsをバイパスしてRAMダンプユーティリティを起動するか、RAMを読み取りのために別のマシンに物理的に移動します。この種の攻撃は、に対して守る。

最後に、Truecryptの開発 1年前に中止 は不明な理由で開発され、サポートされなくなったことにも言及します。そのため、 Veracrypt などのフォークの1つに移行することをお勧めします=。

39
tlng05

攻撃者は、「コールドブート」攻撃と呼ばれるものを実行する可能性があります。スリープモードはメモリのすべての内容をアクティブに保ち、truecryptボリュームのキーはメモリに保存されます。メモリが冷たい場合、メモリの内容は電源がなくても長く持続します。攻撃者がしなければならないことは、コンピューターを(たとえば、冷凍庫に入れて)冷却し、メモリの内容を読み取ってキーを探すことができる特別に細工されたOSでマシンを再起動することだけです。

この攻撃の巧妙さはツールにのみ依存します。ツールは一度書くだけで、フリーザーとUSBスティックを持っていれば誰でも利用できます。コールドブートを介してTrueCryptを悪用するための使いやすいツールが現在存在するかどうかはわかりませんが、おそらく書くのはそれほど難しくありません。一般に、自動化に依存するこのような攻撃は、時間の経過とともに簡単になるだけであり、スキルの低い攻撃者にフィルタリングされます。

8
Steve Sether

TrueCryptパスワードを再入力する必要がない場合でも、WindowsはTrueCryptボリュームのコンテンツにアクセスできます。攻撃者が昼食時にデータにアクセスするには、Windowsパスワードを推測するだけで済みます。

TrueCrypt(または他のディスク暗号化)は、OSからのアクセスではなく、ディスク自体から直接コピーされることからのみデータを保護します。 (一般的な例は、盗まれたハードドライブまたは電源が切れたラップトップです。)

4
ztk

私はあなたのコンピュータを目覚めさせて、それからRAMをハードドライブに保存する休止状態モードに入れます...それから私はあなたのボックスへの電源を切り、ハードドライブを取り外し、内容をコピーすることができます別のディスク(休止ファイルを含む-基本的にはRAMのコピー)を元に戻し、ハードドライブを元に戻し、システムの電源を入れます。次に、スリープモードに戻します。非常に洗練されており、コールドブートやその他の制限の影響を受けません。

Truecryptでこれをテストしていないのですが、(理論的には)機能するはずです。

これを実行不可能にするには、休止状態を無効にすることをお勧めします。

0
Nick