Atacul de încărcare rece

Cold boot attack ( atac de resetare a platformei , atac de repornire la rece) - în criptografie  - o clasă de atacuri prin canale terțe , în care un atacator care are acces fizic la un computer poate extrage chei de criptare sau date valoroase din acesta. Atacul necesită o repornire completă a computerului sau închiderea și îndepărtarea modulelor de memorie din acesta [1] [2] . Atacul folosește efectul stocării datelor în DRAM și SRAM RAM după ce alimentarea este oprită. Datele sunt parțial stocate pentru perioade care variază de la secunde la minute [2] [3] .

Descriere

Pentru a efectua atacul, se efectuează o „pornire la rece” a computerului, adică oprirea alimentării fără a utiliza instrumentele sistemului de operare și apoi pornirea acestuia (de exemplu, folosind butonul de resetare de pe carcasă sau prin oprire). sursa de alimentare). După pornire, este încărcat un sistem de operare mic special (de exemplu, de pe un disc USB sau dischetă), iar starea curentă a RAM este salvată într-un fișier. O modalitate alternativă de a efectua atacul este eliminarea modulelor de memorie ( DIMM ) din computerul victimei și instalarea lor într-un alt computer pentru a citi datele de pe ele. Informațiile primite sunt apoi analizate pentru prezența cheilor de criptare sau a altor informații valoroase. Există programe speciale pentru căutarea automată [4] .

Cercetătorii au demonstrat aplicabilitatea atacului la sistemele de criptare a discurilor de la diverși producători, inclusiv cei care folosesc criptoprocesorul Trusted Platform Module (TPM) [2] .

Timpul de păstrare a datelor în memorie poate fi mărit prin răcirea modulelor de memorie. În plus, există modele matematice pentru ștergerea datelor din memoria de oprire care ajută la recuperarea datelor. [2] În cazul în care sistemul de criptare a discului permite sistemului de operare să pornească fără a introduce parole de criptare sau coduri PIN , sau un procesor criptografic hardware este utilizat pentru a obține cheia (de exemplu, BitLocker vă permite să utilizați TPM fără a introduce un PIN sau folosind un token USB), timpul pentru a efectua aceste tipuri de atacuri poate fi nelimitat [2] :

Se poate remarca faptul că utilizarea BitLocker împreună cu Modulul Platformei de încredere poate face sistemul mai puțin sigur, deoarece permite unui atacator să acceseze date chiar dacă computerul a fost furat în timp ce era oprit.

Text original  (engleză)[ arataascunde] În special, utilizarea BitLocker cu un Modul de platformă de încredere (TPM) îl face uneori mai puțin sigur, permițând unui atacator să obțină acces la date chiar dacă mașina este furată în timp ce este complet oprită.

Un atac de încărcare la rece nu este singurul atac care obține chei de criptare din memorie, de exemplu, un atac DMA vă permite să citiți memoria fizică folosind un dispozitiv extern cu o interfață 1394 . Microsoft recomandă să nu folosiți BitLocker în configurația implicită pentru a preveni aceste tipuri de atacuri [5] .

Opoziție

Demontarea unităților criptate

Multe sisteme de criptare a discurilor șterg cheile de criptare din memorie atunci când partițiile criptate sunt dezactivate. Prin urmare, se recomandă dezactivarea tuturor discurilor criptate dacă există riscul furtului computerului [6] .

Moduri complexe de criptare

În configurația implicită, Bitlocker utilizează TPM fără o parolă de pornire (PIN de pornire) sau chei străine. În această configurație, cheile de criptare sunt descărcate automat din TPM la fiecare pornire și nu necesită intervenția utilizatorului. Prin urmare, atacul Cold Boot devine posibil împotriva unui computer cu o configurație similară care este oprită, deoarece de fiecare dată când cheile sunt pornite, acestea ajung în continuare în RAM.

Autentificarea cu doi factori, de exemplu, folosind un PIN de pornire sau un token USB bootabil în plus față de TPM, face posibilă excluderea unui atac împotriva computerelor furate în timp ce sunt oprite [7] [8] .

Managementul energiei

Oprirea computerului folosind sistemul de operare șterge de obicei cheile de criptare din memorie. Prin urmare, se recomandă oprirea completă a computerului dacă este lăsat într-un loc unde poate fi furat [2] [9] .

 Vezi și

Note

  1. Douglas MacIver (21.09.2006). Testare de penetrare Windows Vista BitLocker Drive Encryption (PDF) . HITBSecConf2006 , Malaezia: Microsoft . Arhivat din original (PDF) la 29.10.2006 . Consultat 2008-09-23 . Parametrul depreciat folosit |deadlink=( ajutor )
  2. 1 2 3 4 5 6 J. Alex Halderman, Seth D. Schoen , Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum și Edward W. Felten . Lest We Remember: Cold Boot Attacks on Encryption Keys  (Engleză)  : jurnal. - Universitatea Princeton , 2008. - 21 februarie. Arhivat din original pe 22 iulie 2011.
  3. Serghei Skorobogatov. Remanența datelor la temperatură scăzută în RAM statică  (nedefinită) . - Universitatea din Cambridge , Laboratorul de calculatoare, 2002. - iunie. Arhivat din original pe 21 aprilie 2018.
  4. PR Newswire (01-12-2009). Software-ul Passware sparge Criptarea BitLocker Deschide . Comunicat de presă . Extras 2011-07-01 .
  5. Blocarea driverului SBP-2 pentru a reduce amenințările 1394 DMA la adresa BitLocker . Microsoft (4 martie 2011). Preluat la 15 martie 2011. Arhivat din original la 13 august 2012.
  6. Cold Boot Attacks on Encryption Keys (alias „atacuri DRAM”) , Sarah Dean (11 noiembrie 2009). Arhivat din original pe 15 septembrie 2012. Recuperat la 11 noiembrie 2008.
  7. Prezentare generală tehnică BitLocker Drive Encryption . Microsoft (2008). Consultat la 19 noiembrie 2008. Arhivat din original la 13 august 2012.
  8. Douglas MacIver. Blogul echipei System Integrity Team: Protejarea BitLocker de atacurile la rece (și alte amenințări) . Microsoft (25 februarie 2008). Preluat la 23 septembrie 2008. Arhivat din original la 13 august 2012.
  9. Criptarea încă bună; Modul Sleep nu atât de mult, spune PGP , prin cablu  (21 februarie 2008). Arhivat din original pe 4 aprilie 2009. Preluat la 22 februarie 2008.

Link -uri