Per quanto tempo un computer deve essere spento per resistere a un attacco di avvio a freddo?

9

Capisco che più un computer è spento, più è resistente a un attacco di avvio a freddo. Capisco anche che un tasto AES può essere ricostruito da un programma di tasti tondo ridondante anche dopo che una grande percentuale dei bit in memoria è decaduta, e le chiavi private RSA possono essere ottenute in modo simile. Secondo questo documento , c'è un periodo di decadimento a bit lento, seguito da un periodo di rapido decadimento, seguito da un periodo di lento decadimento. Quanto tempo occorrerebbe affinché le informazioni ridondanti da cui viene recuperata la chiave degeneri fino al punto in cui non è possibile recuperarle. Sarebbe questione di ore? Giorni? O ci vorrebbero diverse settimane prima che i bit decadano a sufficienza? La carta fornisce un'indicazione che il tasto può essere ripristinato se il computer è spento, ma non fornisce indicazioni su quanto tempo.

    
posta Zen Hacker 05.01.2016 - 19:43
fonte

1 risposta

3

Ci sono alcuni factores che sono cruciali per questo tipo di attacchi. La RAM di un PC non viene scaricata immediatamente dopo lo spegnimento del PC, ma in casi normali viene scaricata in meno di un minuto. Quando questo attacco è stato migrato prima dagli scienziati, hanno detto che la memoria era necessaria tra 10 e 30 secondi fino a quando il contenuto non era più utilizzabile.

Questo periodo di tempo può essere aumentato usando ghiaccio spray come è stato fatto nell'attacco a freddo. Hanno detto che questo aumenterà la durata dei dati nella memoria fino a 10+ minuti dopo che il PC è stato spento.

Ci sono anche alcuni problemi pratici che possono prevenire un simile attacco. Quando si riavvia un PC, ci sono due fasi di test della memoria in cui il BIOS scrive nella memoria. Nella prima fase che non è opzionale vengono testati i primi 64k. Nella seconda fase, facoltativa, viene testata l'intera memoria. Questo test scrive sulla memoria e se ciò accade, l'attacco cold-boot non funzionerà più perché tutto il contenuto necessario è stato sovrascritto. Quindi devi saltare il test.

Anche le password di avvio possono ostacolare il tuo tentativo di avviare un sistema live. Ciò è necessario per scaricare o almeno analizzare la memoria del PC. Questo potrebbe impedire l'attacco perché anche una debole misura di sicurezza che può essere superata in mezz'ora può costare così tanto tempo che i dati in memoria sono andati.

// Ho sentito di alcuni casi in cui la polizia ha cercato di impedire ai loro sospettati di spegnere i loro PC perché volevano effettuare un attacco a freddo. Uno di questi casi ha avuto luogo in Germania (da dove vengo). Il sospetto era un trafficante d'armi sulla darknet ed era quel paranoico che gestiva solo il suo portatile con un filo elettrico e una batteria staccata. Nel raid il sospetto ha estratto il cavo elettrico e la polizia non è stata in grado di recuperare la chiave crittografica. Puoi trovare l'intero articolo qui .

    
risposta data 05.01.2016 - 20:47
fonte

Leggi altre domande sui tag