Le chiavi di crittografia sono state cancellate dalla RAM prima di essere ibernate o come eseguirle (Luks e Truecrypt)

Question

Le chiavi di crittografia sono state cancellate dalla RAM prima di essere ibernate o come eseguirle (Luks e Truecrypt)

#1 da (1 voti)

6

Usando Linux, ho partizioni di sistema e di swap / di ibernazione crittografate con LUKS e partizioni di dati crittografate con TrueCrypt, e mi chiedo quando metterò il mio laptop in ibernazione se le chiavi di crittografia vengono cancellate dalla RAM prima che il computer si spenga , o se devo aspettare qualche minuto per essere abbastanza immune dagli attacchi con avvio a freddo.

Tecnicamente suppongo che sia complicato farlo per il software di crittografia anche se rileva che il laptop andrà in ibernazione, perché se altera la memoria prima che venga copiata sul disco, i volumi crittografati non verranno ripristinati su curriculum.

Probabilmente solo il kernel può tranquillamente alterare la memoria e non l'immagine di memoria sul disco, ma non conoscerebbe le chiavi di crittografia, e dovrebbe cancellare l'intera RAM, che probabilmente non viene eseguita di default.

Ma forse c'è un'opzione del kernel per farlo?

O forse è possibile eseguire alcuni script pm-utils dopo che la sospensione è stata completata ma prima che il computer si spenga?

Oppure esiste un altro modo per eseguire qualche programma dopo l'ibernazione ma prima di spegnerlo?

O forse il kernel potrebbe avere un'opzione più avanzata, permettendo al software di pubblicare sul kernel alcuni intervalli di indirizzi di memoria che devono essere cancellati dopo l'ibernazione ma prima di spegnersi?

Modifica

Apparentemente è possibile creare un shutdownramfs che viene eseguito dopo l'arresto (vedi qui per un'implementazione in systemd), quindi sarebbe possibile cancellare la RAM lì per l'arresto. Tuttavia non sembra essere chiamato per la sospensione e l'installazione sembra complicata, almeno quando non si usa systemd.

linux memory disk-encryption cold-boot-attack

posta cyril42e 15.08.2015 - 01:53

fonte

1 risposta

Leggi altre domande sui tag linux memory disk-encryption cold-boot-attack

Come verificare quale certificato viene controllato per la revoca? Protezione dell'API REST tramite Hawk

score 1 · Answer 1

I am wondering when I put my laptop to hibernation if the encryption keys are wiped from the RAM before the computer is shutdown?

No perché perché le chiavi di decrittazione master sono conservate in DRAM indipendentemente dallo strumento di crittografia che usi.

or if I have to wait a few minutes to be quite immune against cold boot attacks?

Alcuni autori hanno dichiarato che la ibernazione durante 5 minuti o più rende la macchina immune ma più autori hanno dimostrato il contrario, incluso l'articolo che ho citato di seguito, c'è una risposta a questa domanda che conferma < em> non :

Our results show that simply locking the screen of a computer (i.e., keeping the system running but requiring entry of a password before the system will interact with the user) does not protect the con- tents of memory. Suspending a laptop’s state (“sleeping”) is also ineffective, even if the machine enters screen-lock on awakening, since an adversary could simply awaken the laptop, power-cycle it, and then extract its memory state. Suspending-to-disk (“hibernating”) may also be ineffective unless an externally-held secret is required to resume normal operations

Un'altra citazione afferma che l'ibernazione è ancora più vulnerabile rispetto ad altri metodi rispetto agli attacchi di avvio a freddo:

If people use hibernate or sleep mode, or lock the keyboard, they are potentially vulnerable in other ways. Just bring the computer back up to the login prompt, and start attacking the ports looking for an unpatched vulnerability. So a computer that is not completely shut down effectively bypasses the protection of full disk encryption -- even without the cold boot memory attack.

Hai detto:

Technically I guess it is complicated for the encryption software to do that even if it detects that the laptop is going to hibernate, because if it alters the memory before it is copied to the disk then the encrypted volumes won't be restored on resume.

Sì, perché ci sono altri processi che continuano a essere eseguiti.

Il resto della tua domanda è soggetto a maggiori sforzi e analisi. Non posso rispondergli.

È provato che:

Ordinary DRAMs typically lose their contents gradually over a period of seconds, even at standard oper- ating temperatures and even if the chips are removed from the motherboard, and data will persist for minutes or even hours if the chips are kept at low temperatures

Quindi, a meno che la RAM della tua macchina non sia vecchia, non devi preoccuparti di questo problema.

Questo è per la risposta breve. Poiché i post dei siti Web di StackExchange sono destinati a durare, ti esorto a leggere un altro risposta dettagliata alla tua domanda che non voglio riprodurre qui.

Sempre citando la risposta a cui mi sono collegato, puoi spegnere la tua macchina in sicurezza:

- Keep secure data in True Crypt cascade algorithm encrypeted file
-  Use Serpent

- Create a script to handle shutdown:

           truecrypt /wipecache 
           shutdown -h now
/wipecache ensures that no vulnerable data remains in RAM after shutdown. If someone will perform Cold Boot Attack they will have access to your System at best. They will not have data stored in a separately encrypted file.