Per la massima sicurezza di FileVault2, perché è consigliata la sospensione?

10

Molte discussioni sulla sicurezza di FileVault 2 suggeriscono di usare:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Alcune di queste discussioni indicano che le chiavi FileVault sono archiviate nella RAM durante il normale utilizzo, mentre altre affermano che sono memorizzate nel firmware EFI.

  1. Dove sono memorizzate le chiavi mentre la macchina è in attività e in esecuzione nella RAM o nel firmware?

  2. Cosa fa esattamente destroyfvkeyonstandby ? Ad esempio, se cancello un file posso ripristinarlo perché non è stato cancellato. destroyfvkeyonstandby esegue una versione di memoria (eliminazione) o una cancellazione (sovrascrivendo la memoria che era in uso per tenere premuto il tasto)?

  3. Se utilizzo destroyfvkeyonstandby , quale vantaggio c'è di entrare immediatamente in modalità ibernazione (oltre al risparmio energetico)? Se la chiave è stata cancellata, quale pericolo c'è nel lasciare la RAM accesa?

posta Michael 17.11.2012 - 10:20
fonte

1 risposta

3
  1. Durante l'uso normale, i tasti sono memorizzati nella RAM, il che li rende vulnerabili a un attacco DMA su Firewire o Thunderbolt (usando qualcosa come Inception ). Questa è una vecchia serie di attacchi e Apple in realtà disabilita alcune delle funzionalità di tali dispositivi durante alcune modalità di sospensione (ad esempio hibernatemode 25 che rimuove l'alimentazione dalla RAM dopo aver scaricato il contenuto su disco; per maggiore sicurezza, devi anche disabilitare Veloce Cambio utente , in quanto è un altro vettore di attacco.)

  2. Questa è l'unica cosa che ha senso per Apple, dato che è piuttosto banale. Ulteriori dettagli potrebbero essere selezionati da questa analisi di FileVault 2 , per gentile concessione di alcuni ricercatori della sicurezza di Cambridge.

  3. RAM può anche essere scritto in (vedi Inception ) in ordine per bypassare la password effettiva; scaricando su disco e ricaricando al risveglio, il contenuto sarà a prova di manomissione.

risposta data 24.11.2012 - 10:17
fonte

Leggi altre domande sui tag