Úvodná » ako » Ako je možné zameniť šifrovanie s mrazničkou

    Ako je možné zameniť šifrovanie s mrazničkou

    Geekovia často považujú šifrovanie za nástroj, ktorý je nepríjemný, aby zabezpečili, že údaje zostanú v tajnosti. Ale či šifrujete pevný disk vášho počítača alebo ukladací priestor vášho smartphonu, možno vás prekvapí, že šifrovanie môže byť prerušené pri nízkych teplotách.

    Je nepravdepodobné, že vaše osobné šifrovanie bude týmto spôsobom vynechané, ale táto zraniteľnosť by mohla byť použitá pre firemnú špionáž alebo vlády, aby získali prístup k údajom podozrivých, ak podozrivý odmietne sprístupniť šifrovací kľúč.

    Ako funguje full-disk šifrovanie

    Či už používate nástroj BitLocker na zašifrovanie súborového systému Windows, vstavanú funkciu šifrovania v systéme Android na šifrovanie úložiska vášho smartfónu alebo ľubovoľný počet ďalších riešení šifrovania s plným diskom, každý typ riešenia šifrovania funguje podobne.

    Údaje sa ukladajú do ukladacieho priestoru vášho zariadenia v šifrovanej, zdanlivo šifrovanej forme. Pri spúšťaní počítača alebo smartfónu budete vyzvaní na prístupovú frázu šifrovania. Váš prístroj uloží šifrovací kľúč do pamäte RAM a použije ho na šifrovanie a dešifrovanie údajov tak dlho, ako zariadenie zostane zapnuté.

    Za predpokladu, že máte v zariadení nastavené heslo uzamknutej obrazovky a útočníci to nedokážu uhádnuť, budú musieť na prístup k vašim údajom reštartovať vaše zariadenie a spustiť z iného zariadenia (napríklad z jednotky USB flash). Keď sa však prístroj vypne, obsah RAM zmizne veľmi rýchlo. Keď zmizne obsah pamäte RAM, šifrovací kľúč sa stratí a útočníci budú potrebovať vašu prístupovú frázu na šifrovanie na dešifrovanie vašich údajov.

    Takto sa šifrovanie všeobecne predpokladá, že funguje, a preto inteligentné spoločnosti šifrujú prenosné počítače a smartfóny s citlivými údajmi o nich.

    Zostatok údajov v pamäti RAM

    Ako sme uviedli vyššie, údaje rýchlo zmiznú z pamäte RAM potom, čo sa počítač vypne a RAM stratí napájanie. Útočník by sa mohol pokúsiť rýchlo reštartovať šifrovaný prenosný počítač, zaviesť z USB kľúča a spustiť nástroj, ktorý kopíruje obsah pamäte RAM na extrahovanie šifrovacieho kľúča. To by však normálne nefungovalo. Obsah RAM sa stratí v priebehu niekoľkých sekúnd a útočník nebude mať šťastie.

    Čas potrebný na vymazanie údajov z pamäte RAM je možné výrazne rozšíriť chladením pamäte RAM. Výskumníci uskutočnili úspešné útoky proti počítačom pomocou šifrovania BitLocker od spoločnosti Microsoft tým, že na RAM nasprejovali plechovku stlačeného vzduchu s obráteným obrázkom, čím sa dostali na nízke teploty. V poslednej dobe výskumníci položili telefón s Androidom do mrazničky na hodinu a boli potom schopní obnoviť šifrovací kľúč z RAM po jeho resetovaní. (Tento zavádzací systém musí byť odomknutý, ale bolo by teoreticky možné vybrať telefón RAM a analyzovať ho.)

    Akonáhle sú obsahy RAM skopírované alebo "vyradené" do súboru, môžu byť automaticky analyzované na identifikáciu šifrovacieho kľúča, ktorý umožní prístup k šifrovaným súborom.

    Toto je známe ako "útok za studena", pretože závisí od fyzického prístupu k počítaču, aby sa chytil šifrovacie kľúče, ktoré zostali v RAM počítača.

    Ako zabrániť útokom za studena-boot

    Najjednoduchší spôsob, ako zabrániť útoku za studena, je zabezpečiť, aby šifrovací kľúč nebol v pamäti RAM počítača. Napríklad, ak máte firemný prenosný počítač plný citlivých údajov a obávate sa, že by to mohlo byť odcudzené, mali by ste ho vypnúť alebo ho prepnúť do režimu dlhodobého spánku, keď ho nepoužívate. Tým sa odstráni šifrovací kľúč z pamäte RAM počítača. Po opätovnom spustení počítača sa zobrazí výzva na opätovné zadanie hesla. Naproti tomu uvedenie počítača do režimu spánku opustí šifrovací kľúč zostávajúci v pamäti RAM počítača. To vystavuje váš počítač riziku útokov za studena.

    "Špecifikácia zmierňovania útoku na obnovu platformy TCG" je odvetvovou odpoveďou na tento problém. Táto špecifikácia prinúti BIOS zariadenia na prepísanie pamäte počas zavádzania. Avšak pamäťové moduly zariadenia môžu byť odstránené z počítača a analyzované na inom počítači, čím sa obíde toto bezpečnostné opatrenie. V súčasnosti neexistuje žiadny spôsob, ako zabrániť tomuto útoku.

    Naozaj potrebujete sa obávať?

    Ako geekovia je zaujímavé zvážiť teoretické útoky a ako ich môžeme zabrániť. Ale buďme úprimní: väčšina ľudí sa nebude musieť obávať týchto útokov za studena. Vlády a korporácie s citlivými údajmi na ochranu budú chcieť mať na pamäti tento útok, ale priemerný geek by sa o to nemal obávať.

    Ak niekto naozaj chce vaše šifrované súbory, pravdepodobne sa pokúsi dostať šifrovací kľúč z vás, a nie pokúsiť sa o útok za studena, čo si vyžaduje väčšiu odbornosť.

    Image Credit: Frank Kovalcheck na Flickr, Alex Gorzen na Flickr, Blake Patterson na Flickr, XKCD