Jeffrey Cross
Jeffrey Cross

Linuxのメモリダンプからの暗号化キーの回復

dm-cryptまたはcryptoloopで使用されている暗号化キーを抽出する方法を説明している2007 Chaos Communication Campからこの論文に出会いました。

技術的には、暗号化されたディスクを使用している間は暗号化キーをメモリに常駐させる必要があるため、攻撃者が物理的なRAMにアクセスすれば、いつでもこれらのキーを入手してボリュームを復号化できます。 。しかし、それほど明白ではないことがいくつかありました。

1つ目は、マシンのメモリにアクセスするためのさまざまな手段があるということです。 rootアクセス権を取得できれば誰でもリモートで/ dev / memにアクセスできますが、多くのシステム(特にラップトップ)は実際には長期休止中にメモリの内容をディスクに書き込むでしょう。 VMWareなどの仮想化ソフトウェアは、仮想マシンがサスペンドされていてもまったく同じ動作をします。最後に(そしてこれは私にとってのニュースでした)、Firewire規格はデバイスにDMAアクセスを提供します。ランニングマシンに接続する目的で特別に設計されたデバイスを想像することができます。それはマシンのラムを小さなハードディスクにコピーし、「完成した」LEDが点灯し、攻撃者はそれをポケットに入れて建物から出るでしょう。オペレーティングシステムは、何かが起こったことさえ知らないでしょう。

2番目の大きな問題は、フルメモリダンプでこれらのキーを検索するのは比較的簡単だということです。 dm-cryptの方法は、cryptoloopのそれとは少し異なりますが、基本的には、鍵を握るCデータscructureの特定の特性に対するパターン検索が必要です。これを試してみたい方のために、付録にはいくつかのスクリプトが含まれています。

あなたが旅行中に盗難からあなたのデータを保護するためにラップトップ上でディスク暗号化を使用する場合は、注意してください。ハイバネーションモードを無効にしてRAMがディスクに書き込まれるのを防ぎ、ログアウトしていても無人の状態でマシンを実行したままにしないでください。

Linuxのメモリダンプからの暗号鍵の回復 - リンク(pdf)

シェア

コメントを残します