Cold boot attack ( atac de resetare a platformei , atac de repornire la rece) - în criptografie - o clasă de atacuri prin canale terțe , în care un atacator care are acces fizic la un computer poate extrage chei de criptare sau date valoroase din acesta. Atacul necesită o repornire completă a computerului sau închiderea și îndepărtarea modulelor de memorie din acesta [1] [2] . Atacul folosește efectul stocării datelor în DRAM și SRAM RAM după ce alimentarea este oprită. Datele sunt parțial stocate pentru perioade care variază de la secunde la minute [2] [3] .
Pentru a efectua atacul, se efectuează o „pornire la rece” a computerului, adică oprirea alimentării fără a utiliza instrumentele sistemului de operare și apoi pornirea acestuia (de exemplu, folosind butonul de resetare de pe carcasă sau prin oprire). sursa de alimentare). După pornire, este încărcat un sistem de operare mic special (de exemplu, de pe un disc USB sau dischetă), iar starea curentă a RAM este salvată într-un fișier. O modalitate alternativă de a efectua atacul este eliminarea modulelor de memorie ( DIMM ) din computerul victimei și instalarea lor într-un alt computer pentru a citi datele de pe ele. Informațiile primite sunt apoi analizate pentru prezența cheilor de criptare sau a altor informații valoroase. Există programe speciale pentru căutarea automată [4] .
Cercetătorii au demonstrat aplicabilitatea atacului la sistemele de criptare a discurilor de la diverși producători, inclusiv cei care folosesc criptoprocesorul Trusted Platform Module (TPM) [2] .
Timpul de păstrare a datelor în memorie poate fi mărit prin răcirea modulelor de memorie. În plus, există modele matematice pentru ștergerea datelor din memoria de oprire care ajută la recuperarea datelor. [2] În cazul în care sistemul de criptare a discului permite sistemului de operare să pornească fără a introduce parole de criptare sau coduri PIN , sau un procesor criptografic hardware este utilizat pentru a obține cheia (de exemplu, BitLocker vă permite să utilizați TPM fără a introduce un PIN sau folosind un token USB), timpul pentru a efectua aceste tipuri de atacuri poate fi nelimitat [2] :
Se poate remarca faptul că utilizarea BitLocker împreună cu Modulul Platformei de încredere poate face sistemul mai puțin sigur, deoarece permite unui atacator să acceseze date chiar dacă computerul a fost furat în timp ce era oprit.
Text original (engleză)[ arataascunde] În special, utilizarea BitLocker cu un Modul de platformă de încredere (TPM) îl face uneori mai puțin sigur, permițând unui atacator să obțină acces la date chiar dacă mașina este furată în timp ce este complet oprită.Un atac de încărcare la rece nu este singurul atac care obține chei de criptare din memorie, de exemplu, un atac DMA vă permite să citiți memoria fizică folosind un dispozitiv extern cu o interfață 1394 . Microsoft recomandă să nu folosiți BitLocker în configurația implicită pentru a preveni aceste tipuri de atacuri [5] .
Multe sisteme de criptare a discurilor șterg cheile de criptare din memorie atunci când partițiile criptate sunt dezactivate. Prin urmare, se recomandă dezactivarea tuturor discurilor criptate dacă există riscul furtului computerului [6] .
În configurația implicită, Bitlocker utilizează TPM fără o parolă de pornire (PIN de pornire) sau chei străine. În această configurație, cheile de criptare sunt descărcate automat din TPM la fiecare pornire și nu necesită intervenția utilizatorului. Prin urmare, atacul Cold Boot devine posibil împotriva unui computer cu o configurație similară care este oprită, deoarece de fiecare dată când cheile sunt pornite, acestea ajung în continuare în RAM.
Autentificarea cu doi factori, de exemplu, folosind un PIN de pornire sau un token USB bootabil în plus față de TPM, face posibilă excluderea unui atac împotriva computerelor furate în timp ce sunt oprite [7] [8] .
Oprirea computerului folosind sistemul de operare șterge de obicei cheile de criptare din memorie. Prin urmare, se recomandă oprirea completă a computerului dacă este lăsat într-un loc unde poate fi furat [2] [9] .