Kaltstart-Angriffe auf Systemverschlüsselung

Ein aktueller heise Beitrag hat mich dazu gebracht mich ein wenig genauer mit den Angriffsmöglichkeiten auf verschlüsselte Systeme zu befassen. Es gibt mehrere, zumeist sehr einfache, Möglichkeiten die sicher geglaubte Verschlüsselung zu umgehen.

Es muss einem bewusst sein das sobald der Rechner läuft und das Passwort für die Verschlüsselung eingegeben wurde dieser Schlüssel im Systemspeicher verbleibt. Ist der Rechner also lediglich gesperrt oder im Standby Modus gibt es zwei besonders einfache Möglichkeiten:

i) Besitzt der Rechner einen Firewire Port so kann über diesen fast immer ein Speicherabbild des Systemspeichers erstellt werden.
Dies funktioniert da Firewire zur Geschwindigkeitsverbesserung den sogenannten DMA, Direct Memory Access, Modus benutzt bei welchem das Firewire Gerät ohne Einflussnahme der CPU auf den RAM zugreifen kann.

ii) Kann man den Rechner von einem externen Medium (USB, CD, Diskette….) booten so kann eine sogenannte Kaltstart-Attacke verwendet werden. Bei dieser wird ausgenutzt das der Systemspeicher, im Gegensatz zum verbreiteten glauben, seine Daten nicht sofort nach dem Ausschalten sondern recht langsam verliert (im Bereich von Minuten).
Schaltet man den Rechner also hart (Reset, trennen von Netz o.ä.) aus und rebootet ihn sofort danach mit einem Angriffssystem so bleiben die Daten quasi 100% intakt und der Schlüssel kann entwendet werden.
Diese Attacke kann mit mehr Aufwand auch eingesetzt werden wenn das Zielsystem nicht von einem eigenen Datenträger bootbar ist, hierzu kann man mit Kältespray o.ä. den RAM vor dem ausschalten kühlen, dadurch bleiben die Daten wesentlich länger erhalten und man kann den RAM in aller Ruhe ausbauen und in ein eigenes System zum auslesen einsetzen.
Eindrucksvoll demonstrieren das Forscher der Universität Princeton (blog, paper):

Ist der Rechner bereits längere Zeit abgeschaltet ist man auch nicht zwangweise sicher. Befindet sich der Rechner im Ruhezustand (Suspend to disk) und es wurde nicht das gesamte System verschlüsselt so wurde der key eventuell auf die Festplatte geschrieben und ist dort für den Angreifer auslesbar.

Ist der Rechner wirklich ganz aus so kann es trotzdem passieren das irgendwo auf der Festplatte Reste des keys herumliegen (von früheren Ruhezuständen beispielsweise). Sicherer ist ein ausgeschaltetes, vollverschlüsseltes System. Hier könnten lediglich Fehler im Programm selbst den Key preisgeben.

Auf so „gesicherten“ Systemen dürfte die größte Gefahr von Hardware oder Software Modifikationen, z.B. Keyloggern, Kameras, o.ä. ausgehen.

Fazit: Physischer Zugriff auf ein System machen jegliche Sicherheitsbemühungen zunichte (!!!). Ist man nicht gerade paranoid sollte man darauf achten das Fireware aus oder richtig konfiguriert ist. Das der Rechner nicht im Standby oder gelockt herumsteht und man ein gutes Verschlüsselungsprogramm verwendet das mit dem Ruhezustand klarkommte und auch sich auch sonst möglichst wenig blößen gibt 😉

Dieser Beitrag wurde unter Computer abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu Kaltstart-Angriffe auf Systemverschlüsselung

  1. Pingback: DBCLAN.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.