È possibile estrarre la chiave di crittografia di un computer con crittografia completa del disco tramite malware?

Question

È possibile estrarre la chiave di crittografia di un computer con crittografia completa del disco tramite malware?

#1 da (3 voti)

5

Recentemente ho scoperto l'argomento degli attacchi cold boot che sono in grado di estrarre la chiave di crittografia della memoria ram dopo che il computer si è spento. e da quello che capisco è che le forze dell'ordine possono spaccare nelle case delle persone e versare azoto liquido sul computer della gente per la chiave.

Ma poi ci ho pensato: se riesci a rubare la chiave dalla memoria ram, non avrebbe più senso se avessero installato malware sul computer dei sospetti per ottenerlo (se possibile, naturalmente)? quindi la domanda finale è: è possibile estrarre la chiave di crittografia da remoto via malware fuori dalla memoria ram e, se possibile, come mai le forze dell'ordine non usano questo metodo invece di un attacco a freddo?

malware key-management disk-encryption

posta blacklight 14.06.2016 - 08:58

fonte

1 risposta

Leggi altre domande sui tag malware key-management disk-encryption

Best practice: devo revocare un'identità autofirmata usando SHA1? Riduzione del rischio di infezione ransomware

score 3 · Accepted Answer

is it possible to extract the encryption key remotely via malware out off the ram memory, and if possible, how come that the law enforcement does not use this method instead of a cold boot attack?

Certo che è possibile. Il malware richiede di raggiungere l'accesso con privilegi elevati per accedere alla memoria del driver di crittografia; entrambe le cose possono essere rese difficili, ma non sono affatto impossibili.

Perché le forze dell'ordine non usano questo metodo (che in realtà non richiede il furto di alcuna chiave: di solito quando l'FDE è sbloccato, il disco è accessibile da qualsiasi processo, incluso il malware, quindi il problema è come estrarre il file rubato informazioni): chi dice di no? Dove vivo, abbiamo avuto un bel scandalo non molto tempo fa, per cui una società di software ha subito un attacco che ha funzionato per vari governi. Hanno sviluppato quello che era, a tutti gli effetti, malware mirato.

Gli attacchi di avvio a freddo e il malware non si escludono a vicenda: potresti averli entrambi a disposizione e impiegare ciò che meglio si adatta al caso specifico a portata di mano.

Da un punto di vista legislativo credo che gli attacchi di avvio a freddo siano considerati equivalenti a un attacco, mentre l'installazione di malware è più un'area grigia: è in qualche modo equivalente a un'imboscata o punto di controllo, ma comporta anche la modifica del bersaglio sistema, che in alcuni casi può rendere assolutamente inutilizzabili tutte le prove raccolte - l'equivalente di forzare l'apertura della serratura di un sospetto. Sì, le forze dell'ordine possono entrare in qualsiasi momento, ma così potrebbero teoricamente chiunque altro, rendendo finalmente ogni prova discutibile.

Ad esempio, se il malware consentiva il controllo remoto del sistema di destinazione, è necessario prestare attenzione per garantire che nessun accesso non autorizzato al malware sia quindi possibile da parte di parti sconosciute, allo scopo di seminare la prova che il malware potrebbe rivelarsi .

Infine, il malware potrebbe essere rilevato e persino sovvertito, rendendolo meno desiderabile dal punto di vista delle forze dell'ordine.