Quanto è sicura la crittografia disco di Apple FileVault 2 quando qualcuno ha accesso fisico o di rete mentre il computer è in modalità di sospensione o esegue uno screen saver? Ci sono modi per aggirare FileVault 2 quando il computer non è spento?
Apparentemente FileVault 2 è sicuro contro un attacco DMA se lo schermo non è sbloccato, dal 10.7.2 (quindi assicurati di avere Lion in esecuzione). La mia ipotesi è che durante il sonno le chiavi siano crittografate con la tua password, piuttosto che lasciate in memoria.
Suppongo che significhi anche che è protetto da un Attacco di avvio a freddo .
Le uniche fonti che ho trovato su di esso sono questo post di blog .
Solo una rapida aggiunta alle risposte precedenti; se sei ancora preoccupato che qualcuno possa scaricare la chiave di crittografia dalla RAM durante lo standby, si potrebbe abilitare una funzionalità di gestione dell'alimentazione di OS X chiamata "DestroyFVKeyOnStandby", come menzionato qui (stesso link di Richard Belisle) , pagina 37.
Da man pmset
:
destroyfvkeyonstandby - Destroy File Vault Key when going to standby mode.
By default File vault keys are retained even when system goes to standby.
If the keys are destroyed, user will be prompted to enter the password while
coming out of standby mode.(value: 1 - Destroy, 0 - Retain)
Il comando completo sarebbe sudo pmset -a destroyfvkeyonstandby 1
.
Ciò consentirebbe la distruzione della chiave FileVault durante lo standby per tutte le modalità di alimentazione -a
. Questo è UPS -u
, batteria -b
e caricatore -c
(potenza a muro).
Sì, OS X è ancora vulnerabile al Attacco di avvio a freddo , perché le chiavi di crittografia vengono mantenute in memoria mentre il la macchina è accesa (cioè, inserisci la password all'avvio fino a quando la tua macchina non è completamente spenta). Questo è un problema per tutti gli strumenti di software per la crittografia del disco intero, e non specificamente correlati a FileVault 2.
A seconda della versione di OS X in esecuzione, il tuo computer potrebbe non essere vulnerabile agli attacchi DMA con strumenti come inizio . Versioni > = 10.7.2 disattiva FireWire DMA quando la macchina è bloccata.
Nelle versioni precedenti di Mac OS X, un utente malintenzionato con accesso fisico alla macchina poteva collegarsi tramite Firewire (o Thunderbolt) e utilizzare gli attacchi DMA per accedere alla memoria. Questo sarebbe che l'utente malintenzionato estragga la tua password e quindi sconfiggere la protezione di FileVault 2 . Tuttavia, questa vulnerabilità era corretta in Mac OS X 10.7.2 .
Le versioni successive di Mac OS X hanno ampiamente eliminato questa vulnerabilità. L'attacco è ancora possibile se un utente ha effettuato l'accesso e la macchina è sbloccata. Tuttavia, quando il blocco dello schermo entra in azione, il sistema operativo abilita protezioni aggiuntive che impediscono questo attacco.
References:
Inoltre, l'impostazione di una password del firmware (pre-avvio) può aiutare .
Leggi altre domande sui tag disk-encryption macosx