Как шифрование можно обойти с помощью морозильной камеры
Вундеркинды часто считают шифрование надежным инструментом для обеспечения секретности данных. Но независимо от того, шифруете ли вы жесткий диск вашего компьютера или память вашего смартфона, вы можете быть удивлены, узнав, что шифрование можно обойти при низких температурах.
Маловероятно, что ваше личное шифрование будет обойдено таким образом, но эта уязвимость может быть использована для корпоративного шпионажа или правительств для доступа к данным подозреваемого, если подозреваемый отказывается раскрывать ключ шифрования..
Как работает Full-Disk Encryption
Используете ли вы BitLocker для шифрования файловой системы Windows, встроенную функцию шифрования Android для шифрования хранилища вашего смартфона или любое другое решение для шифрования на полном диске, каждый тип решения для шифрования работает одинаково.
Данные хранятся на вашем устройстве в зашифрованном виде. Когда вы загружаете свой компьютер или смартфон, вам предлагается ввести пароль шифрования. Ваше устройство хранит ключ шифрования в своей оперативной памяти и использует его для шифрования и дешифрования данных, пока ваше устройство остается включенным..
Предполагая, что на вашем устройстве установлен пароль блокировки экрана, а злоумышленники не могут его угадать, им придется перезапустить ваше устройство и загрузиться с другого устройства (например, флэш-накопителя USB), чтобы получить доступ к вашим данным. Однако, когда ваше устройство выключается, содержимое его оперативной памяти исчезает очень быстро. Когда содержимое оперативной памяти исчезает, ключ шифрования теряется, и злоумышленникам понадобится ваша шифровальная фраза для расшифровки ваших данных..
Именно так обычно и работает шифрование, и поэтому умные корпорации шифруют ноутбуки и смартфоны с помощью конфиденциальных данных..
Остаток данных в оперативной памяти
Как мы упоминали выше, данные быстро исчезают из ОЗУ после выключения компьютера и потери питания ОЗУ. Злоумышленник может попытаться быстро перезагрузить зашифрованный ноутбук, загрузиться с USB-накопителя и запустить инструмент, который копирует содержимое ОЗУ для извлечения ключа шифрования. Тем не менее, это обычно не сработает. Содержимое оперативной памяти исчезнет в течение нескольких секунд, и злоумышленнику не повезет.
Время, необходимое для исчезновения данных из ОЗУ, может быть значительно увеличено за счет охлаждения ОЗУ. Исследователи провели успешные атаки на компьютеры с использованием шифрования BitLocker от Microsoft, распыляя баллончик с перевернутым сжатым воздухом в ОЗУ, что приводит к снижению температуры. Недавно исследователи поместили телефон Android в морозильную камеру на час, а затем смогли восстановить ключ шифрования из ОЗУ после его сброса. (Для этой атаки необходимо разблокировать загрузчик, но теоретически можно было бы удалить оперативную память телефона и проанализировать ее.)
Как только содержимое ОЗУ скопировано или «выгружено» в файл, его можно автоматически проанализировать, чтобы определить ключ шифрования, который предоставит доступ к зашифрованным файлам..
Это известно как «холодная атака», поскольку она использует физический доступ к компьютеру для получения ключей шифрования, оставшихся в оперативной памяти компьютера..
Как предотвратить холодную атаку
Самый простой способ предотвратить холодную атаку - убедиться, что ваш ключ шифрования не находится в оперативной памяти вашего компьютера. Например, если у вас есть корпоративный ноутбук, полный конфиденциальных данных, и вы беспокоитесь, что он может быть украден, вы должны выключить его или перевести в режим гибернации, когда вы его не используете. Это удаляет ключ шифрования из оперативной памяти компьютера - вам будет предложено повторно ввести пароль при повторном запуске компьютера. Напротив, перевод компьютера в спящий режим оставляет ключ шифрования в оперативной памяти компьютера. Это подвергает ваш компьютер риску холодных атак.
«Спецификация по снижению риска сброса платформы TCG» является ответом отрасли на эту проблему. Эта спецификация заставляет BIOS устройства перезаписывать свою память во время загрузки. Однако модули памяти устройства могут быть удалены с компьютера и проанализированы на другом компьютере, минуя эту меру безопасности. В настоящее время нет надежного способа предотвратить эту атаку.
Вам действительно нужно беспокоиться?
Как гики, интересно рассмотреть теоретические атаки и то, как мы могли бы их предотвратить. Но давайте будем честными: большинству людей не нужно беспокоиться об этих холодных атаках. Правительства и корпорации, имеющие конфиденциальные данные для защиты, захотят иметь в виду эту атаку, но среднестатистический выродок не должен беспокоиться об этом.
Если кому-то действительно нужны ваши зашифрованные файлы, они, вероятно, попытаются получить от вас ваш ключ шифрования, а не пытаться выполнить холодную загрузку, которая требует большего опыта.
Изображение предоставлено: Фрэнк Ковальчек на Flickr, Алекс Горзен на Flickr, Блейк Паттерсон на Flickr, XKCD