29Jun
Geeks halten Verschlüsselung oft für ein narrensicheres Werkzeug, um sicherzustellen, dass Daten geheim bleiben. Unabhängig davon, ob Sie die Festplatte Ihres Computers oder den Speicher Ihres Smartphones verschlüsseln, können Sie überrascht sein, dass die Verschlüsselung bei kalten Temperaturen umgangen werden kann.
Es ist unwahrscheinlich, dass Ihre persönliche Verschlüsselung auf diese Weise umgangen wird, aber diese Sicherheitsanfälligkeit könnte für Unternehmensspionage oder von Regierungen verwendet werden, um auf die Daten eines Verdächtigen zuzugreifen, wenn der Verdächtige den Verschlüsselungsschlüssel nicht preisgibt.
Funktionsweise der Festplattenverschlüsselung
Ob Sie BitLocker zum Verschlüsseln Ihres Windows-Dateisystems, die integrierte Verschlüsselungsfunktion von Android zum Verschlüsseln des Speichers Ihres Smartphones oder eine beliebige Anzahl anderer Verschlüsselungslösungen für ganze Festplatten verwenden, jeder Verschlüsselungslösungstyp funktioniertähnlich.
Daten werden auf dem Speicher Ihres Geräts in einer verschlüsselten, scheinbar verschlüsselten Form gespeichert. Wenn Sie Ihren Computer oder Ihr Smartphone booten, werden Sie zur Eingabe der Passphrase für die Verschlüsselung aufgefordert. Ihr Gerät speichert den Verschlüsselungsschlüssel in seinem Arbeitsspeicher und verwendet ihn zum Verschlüsseln und Entschlüsseln von Daten, solange das Gerät eingeschaltet bleibt.
Angenommen, Sie haben ein Passwort für den Sperrbildschirm auf Ihrem Gerät eingerichtet und Angreifer können es nicht erraten, müssen sie Ihr Gerät neu starten und von einem anderen Gerät( z. B. einem USB-Flash-Laufwerk) starten, um auf Ihre Daten zugreifen zu können. Wenn sich das Gerät ausschaltet, wird der Inhalt des RAM jedoch sehr schnell ausgeblendet. Wenn der Inhalt des RAMs verschwindet, ist der Verschlüsselungsschlüssel verloren und die Angreifer benötigen Ihre Verschlüsselungspassphrase, um Ihre Daten zu entschlüsseln.
So wird im Allgemeinen davon ausgegangen, dass Verschlüsselung funktioniert, und deshalb verschlüsseln intelligente Unternehmen Laptops und Smartphones mit vertraulichen Daten.
Daten Remanenz im RAM
Wie bereits erwähnt, verschwinden Daten sehr schnell aus dem RAM, nachdem der Computer ausgeschaltet wurde und der RAM Strom verliert. Ein Angreifer könnte versuchen, einen verschlüsselten Laptop schnell neu zu starten, von einem USB-Stick zu booten und ein Tool auszuführen, das den Inhalt des RAM kopiert, um den Verschlüsselungsschlüssel zu extrahieren. Dies würde jedoch normalerweise nicht funktionieren. Der Inhalt des RAM wird innerhalb von Sekunden verschwinden und der Angreifer wird kein Glück mehr haben.
Die Zeit, die benötigt wird, um Daten aus dem RAM zu löschen, kann durch Kühlung des RAM erheblich verlängert werden. Forscher haben erfolgreiche Angriffe auf Computer mit der BitLocker-Verschlüsselung von Microsoft durchgeführt, indem sie eine Kiste mit verdichteter Druckluft auf den Arbeitsspeicher gesprüht und auf niedrige Temperaturen gebracht haben. Kürzlich haben Forscher ein Android-Handy für eine Stunde in den Gefrierschrank gelegt und konnten dann den Verschlüsselungsschlüssel nach dem Zurücksetzen aus seinem RAM wiederherstellen.(Der Bootloader muss für diesen Angriff entsperrt sein, aber es wäre theoretisch möglich, den RAM des Telefons zu entfernen und ihn zu analysieren.)
Sobald der Inhalt des RAM kopiert oder in eine Datei "abgelegt" wird, kann es seinwird automatisch analysiert, um den Verschlüsselungsschlüssel zu identifizieren, der den Zugriff auf die verschlüsselten Dateien ermöglicht.
Dies wird als "Kaltstart-Angriff" bezeichnet, da es auf physischen Zugriff auf den Computer angewiesen ist, um die im RAM des Computers verbleibenden Verschlüsselungsschlüssel zu erhalten.
So verhindern Sie Angriffe durch Kaltstart
Der einfachste Weg, einen Kaltstartangriff zu verhindern, besteht darin, sicherzustellen, dass sich Ihr Verschlüsselungsschlüssel nicht im Arbeitsspeicher Ihres Computers befindet. Wenn Sie beispielsweise einen Unternehmens-Laptop mit vertraulichen Daten haben und befürchten, dass dieser gestohlen wird, sollten Sie ihn ausschalten oder in den Ruhezustand versetzen, wenn Sie ihn nicht verwenden. Dadurch wird der Verschlüsselungsschlüssel aus dem Arbeitsspeicher des Computers entfernt. Sie werden aufgefordert, Ihre Passphrase erneut einzugeben, wenn Sie den Computer erneut starten. Wenn Sie den Computer hingegen in den Energiesparmodus versetzen, bleibt der Verschlüsselungsschlüssel im Arbeitsspeicher des Computers. Dadurch besteht für Ihren Computer das Risiko von Kaltstartangriffen.
Die "TCG Platform Reset Attack Mitigation Specification" ist eine Antwort der Industrie auf dieses Problem. Diese Spezifikation zwingt das BIOS eines Geräts, den Speicher während des Bootvorgangs zu überschreiben. Die Speichermodule eines Geräts könnten jedoch unter Umgehung dieser Sicherheitsmaßnahme vom Computer entfernt und auf einem anderen Computer analysiert werden. Es gibt derzeit keine narrensichere Möglichkeit, diesen Angriff zu verhindern.
Müssen Sie sich wirklich Sorgen machen?
Als Geeks ist es interessant, theoretische Angriffe zu betrachten und wie wir sie verhindern können. Aber seien wir ehrlich: Die meisten Leute werden sich keine Gedanken über diese Cold-Boot-Angriffe machen müssen. Regierungen und Unternehmen, die sensible Daten schützen müssen, werden diesen Angriff im Hinterkopf behalten wollen, aber der durchschnittliche Geek sollte sich darüber keine Sorgen machen.
Wenn jemand wirklich Ihre verschlüsselten Dateien möchte, werden diese wahrscheinlich versuchen, Ihren Verschlüsselungsschlüssel aus Ihnen herauszuholen, anstatt einen Kaltstartangriff zu versuchen, was mehr Fachwissen erfordert.
Bildkredit: Frank Kovalcheck auf Flickr, Alex Gorzen auf Flickr, Blake Patterson auf Flickr, XKCD