Jeffrey Cross
Jeffrey Cross

コールドブート後の暗号化キーの抽出

このビデオでは、プリンストンの研究者は、しばらくの間電源がオフになっていたRAMから暗号化キーを解除する機能を説明します。フルディスク暗号化製品を使用すると、マシンのロックが解除されて動作している間、キーはRAMに保存されます。 RAMは揮発性と見なされるため、このデータは通常、ディスクにページアウトされていない限り、安全と見なされます。ただし、実際のところ、電力が供給されていないRAM内のデータの揮発性は、温度や電力が供給されていない時間の長さなど、いくつかの要因によって異なります。

一般的な想定に反して、最近のほとんどのコンピュータで使用されているDRAMは、動作温度であってもマザーボードから取り外されても、電源が切られた後も数秒から数分間その内容を保持します。リフレッシュしないとDRAMの信頼性は低下しますが、すぐには消去されず、その内容は悪意のある(または法医学的な)使用可能なフルシステムメモリイメージの取得に対して十分に持続します。この現象は、物理的なアクセス権を持つ攻撃者から暗号化キーを保護するためのオペレーティングシステムの機能を制限することを示します。特別なデバイスや素材を使用せずに、コールドリブートを使用して、一般的なディスク暗号化システム(BitLocker、FileVault、dm-crypt、TrueCrypt)に攻撃を仕掛けます。

小さなフットプリントのカーネルでラップトップをUSBドライブから再起動することにより、攻撃者はデータを失う危険性をほとんど伴わずにRAMの内容全体をダンプすることがかなり簡単にできます。マシンのBIOSが外付けドライブからの起動を許可しないように設定されていても、攻撃者はシャットダウン前に逆さにした圧縮空気缶を使ってRAMを冷却し、その後すぐにそのRAMを2台目のマシンに移します。

鍵を交換するのは簡単な作業ではないので、さらに不吉な攻撃のシナリオがあります。たとえば、都合の良いときにキーをスワイプしてから、後で複数の時点でディスクの内容を検査するために使用できます。コンピュータの電源を入れて1回無人の状態にすると、コンピュータのネジを締めたままにしておくことができ、将来いつでもドライブにアクセスできるようになります。この日和見主義的なアプローチを有効にするためにマシンを盗む必要さえないので、データのセキュリティが危険にさらされていることを知ることは決してありません。

データのセキュリティを保護する最後の手段としてディスク暗号化を使用している場合は、すぐに制御できるようになる数分前に、コンピュータを完全にシャットダウン(休止状態なし)することが賢明です。

私たちが覚えていないように:暗号化キーへのコールドブート攻撃 - [via Jay]リンク

シェア

コメントを残します