I rischi delle chiavi di crittografia contenute in un dump della memoria dopo un arresto anomalo?

1

Supponendo un sistema cifrato su disco completo in cui la memoria non volatile è crittografata.

Mentre il sistema è in esecuzione, in caso di arresto anomalo della memoria, ad es. collegando un'unità USB provocando un errore IRQL_NOT_LESS_OR_EQUAL, quali sono i rischi che le chiavi di crittografia siano contenute in quel file di immagine della memoria?

Come variante, supponiamo un ambiente in cui hai un contenitore crittografato seduto e il sistema si blocca in quel momento.

In tutti gli scenari in cui sul disco è presente qualcosa crittografato, ma decodificato al volo mentre il sistema è in esecuzione e si verifica un arresto anomalo del sistema, sussiste il rischio che i dump della memoria contengano chiavi di crittografia o qualcosa che possa portarli?

Caso locale :

Lo scenario sopra mi è appena successo e ho fatto un'analisi locale.

Ho aperto% SystemRoot% \ MEMORY.DMP con un editor esadecimale e ho cercato password o passphrase ma non li ho trovati. Tuttavia, è possibile che siano ancora contenuti in un'altra forma o che ci sia qualcosa che li porta a trovarli?

    
posta Wadih M. 31.07.2016 - 20:26
fonte

2 risposte

1

Assolutamente è possibile che il dump della memoria possa contenere chiavi. Se tutti i programmi seguono una buona pratica di programmazione (chiavi chiare immediatamente dopo l'uso) che riducono la probabilità, ma non c'è nulla che un programma possa fare quando si esegue la crittografia / decrittografia nel software al 100% per impedire che le chiavi siano in memoria. Dopotutto, una chiave deve essere in memoria per eseguire la crittografia / decrittografia e se non appena la chiave viene messa in memoria il sistema operativo va in crash, non c'è nulla che il programma possa fare sulla chiave in quel momento.

    
risposta data 31.07.2016 - 22:04
fonte
0

Il rischio sarebbe minimo se il dump della memoria fosse un core dump. Il codice di errore è un errore logico, non un errore della CPU o un errore di gestione della memoria, quindi il core dump include solo la memoria del kernel. (Stack di kernel, contesto della cpu, messaggio di errore, moduli caricati, ecc.) C'è una possibilità molto bassa che la passphrase (solitamente crittografata) sia memorizzata nello stack del kernel.

BTW, potresti analizzare i file .dmp con WinDbg.

    
risposta data 01.08.2016 - 05:31
fonte

Leggi altre domande sui tag