о памяти

[avva]

Cold Boot Attacks on Disk Encryption (англ.) - очень интересная запись о новом виде взлома зашифрованных дисков (обычно использующихся для защиты данных в ноутбуках). Оказывается, вопреки наивным предположениям, при выключении компьютера современная память (DRAM) обнуляется не сразу, а только через несколько секунд; если же ее охладить, то и намного дольше.

Подход простой: отключаем ноутбук от электричества, тут же включаем его снова и загружаем свою операционную систему (например, через USB-диск), записываем все содержимое памяти, и потом анализируем его. Где-то там находится криптографический ключ для расшифровки исходного диска (которым пользовалась программа-драйвер), и есть эффективные способы довольно быстро его найти, проверить и расшифровать содержимое диска. Если память стирается слишком быстро, можно перед отключением электричества ее охладить с помощью специального спрея.

(по ссылке есть больше подробностей и интересное обсуждение в комментариях)

Comments

[aalien.livejournal.com]

Ну не такого уж и специального, надо заметить, спрея.

[avva.livejournal.com]

Хорошо, пусть будет самого обыкновенного, неоригинального, будничного спрея широкого назначения :)

[dimaniko.livejournal.com]

Чорт, никогда не доверял "быстрым" перезагрузкам.

[crazy-lionheart.livejournal.com]

Идея конечно красивая, но ведь с та система под которой будешь "тащить" память будет в неё же грузиться.

[djuffin.livejournal.com]

А как загрузить свою операционную систему не испортив память?

[avva.livejournal.com]

Почему? Можно загрузить что-то свое через USB-штучку какую-то. Если в BIOSе выставлено, что с USB не грузится, тогда придется охладить память и переставить в свой компьютер.

[avva.livejournal.com]

См. выше.

[side-effect.livejournal.com]

а почему просто не перезагрузить с флэшки? тогда и дополнительное охлаждение, скорее всего, не понадобится.

[a-konst.livejournal.com]

Эээ. Любая загрузка любой ОС как-то использует ОЗУ компьютера. Потому что загрузка - она не только _откуда_, но и _куда_.

Конечно далеко не всю память, и большая часть останется нетронутой, но есть риск что искомый ключ как раз попортится.

[avva.livejournal.com]

Конечно - но риск небольшой, учитывая то, что все ОС сегодня используют виртуальную память, и местонахождение ключа в физической памяти практически случайно.

[avva.livejournal.com]

Ну да, они это и предлагают.

[vk11.livejournal.com]

фигня все это. пальцы в двери и винт дешифрован.

[amarao-san.livejournal.com]

звучит как утка.

Кроме того, "несколько секунд" на перезагрузку и загрузку своей ос не достаточно.

[avva.livejournal.com]

Вообще-то это серьезные люди пишут. А несколько секунд надо всего лишь, чтобы подключить свой USB-драйв и подключить опять к электричеству - после этого память получит подпитку, а обнуляться специально не будет.

[a-konst.livejournal.com]

ну это только если хозяин пальцев и винта рядом.

[amarao-san.livejournal.com]

А. Это интересно. А при сигнале RESET по шине, разве память не нулится? Если не нулится, то верю. Надо спеки читать...

[avva.livejournal.com]

По-моему, нет. Подозреваю, полностью все подробности есть в их статье, но я не пошел ее читать.

[allambee.livejournal.com]

а операционка грузится в конкретное место физической памяти, или тоже в случайное?

[begemotv2718.livejournal.com]

Красиво!

Казалось бы, эту дырку можно существенно уменьшить, если шифровать только пользовательскую partition (/home) и не требовать от системы грузиться с зашифрованного диска, а ключ от зашифрованой partition привязать к паролю пользователя.

Тогда, атакующий сможет что-то сделать только если получит доступ к "горячему", уже полностью загруженному компутеру, в коем случае его пользователь ССЗБ.

[avva.livejournal.com]

Зависит от операционки... обычно есть загрузочный блок, который помещается в определенное место физической памяти, он загружает что-то побольше тоже в определенное место физической памяти, а что-то побольше уже переходит в режим виртуальной памяти и загружает все ядро куда придется.

[baca6u.livejournal.com]

уверен, есть и более простой способ вызвать сбой и заставить сделать дамп памяти на диск без выключения компьютера и перезагрузки.
Главный вопрос состоит в том, как найти в этой многомегабайтной куче мусора ключ для расшифровки.
Ну и еще вопросы остаются. Должна сложиться такая ситуация - у нас в руках есть ноут с запущеной операционной системой и запущенным драйвером для расшифровки, то есть кто-то включил ноут, ввел пароль для доступа к зашифрованным данным и отдал этот ноут мне для эксперимента...
что то с логикой тут не так...

[baca6u.livejournal.com]

если ключ не привязан к паролю, а хранится на диске - не вижу препятствий для того чтобы там его найти без всяких выкрутасов. ДискЭдитом.

[alll]

Совершенно непонятно, зачем такие сложности, если "программа-драйвер" уже имеет ключ для расшифровки.

[alll]

А мы этот ключ тоже зашифруем! И ключ к зашифрованому ключу тоже зашифруем! #80

[avva.livejournal.com]

предполагается, что у вас нет пароля пользователя или другой возможности добраться до памяти этой программы, пока она бежит внутри родной ОС ноутбука.