Está bloqueando ou colocando um computador em modo de suspensão com criptografia de disco completo?

Navegue suas respostas
3

Estou usando o Truecrypt para criptografia de discos completos das unidades do meu computador. É seguro Suspender ou Bloquear meu computador ou isso permitiria que alguém ignorasse a criptografia de disco e acessasse os dados nas unidades como se eles não estivessem criptografados?

    
por Nate 16.08.2013 / 17:06

3 respostas

5

A criptografia completa do disco, por necessidade, precisa da chave na RAM para criptografar / descriptografar dados em tempo real.

Então -

  • O Firewire tem um modo similar ao DMA que basicamente permite a varredura de toda a RAM do sistema. As chaves de disco completas podem ser recuperadas da RAM de um sistema de destino, se estiverem conectadas via Firewire a um host que esteja executando o software correto, e o sistema de destino tiver um driver Firewire que suporte isso. Seu sistema é vulnerável a isso se estiver bloqueado. Não tenho certeza se é possível ler sua RAM enquanto ela está dormindo.

  • Se o sistema estiver em hibernação, toda a RAM será descarregada em um arquivo de hibernação antes de ser desligada. Acredito que o Truecrypt marque as páginas de seu driver de alguma forma para evitar isso, mas, desde que você mantenha o arquivo de hibernação em um volume criptografado, você deve estar seguro.

  • A DRAM demora um pouco para decair após o desligamento. Teoricamente, é possível que um adversário remova a RAM do seu sistema. possivelmente borrifá-lo com ar comprimido para diminuir a temperatura e aumentar a taxa de decaimento, e colocá-lo em um sistema ou ferramenta que varre a RAM e extrai as chaves de lá. Também pode ser possível ligar e desligar o sistema, inicializar um CD ao vivo e recuperar as chaves da RAM dessa maneira.

Se a RAM estiver desligada e tiver decaído o suficiente, não será possível obter chaves dela e seus dados criptografados estarão seguros nessa situação.

É claro que o primeiro e terceiro itens são do nível do papel-alumínio, mas para evitar isso você deve desligar seu sistema completamente quando não estiver usando, e executar o Memtest86 + ou o diagnóstico do sistema para limpar a memória RAM. Pelo menos uma distribuição Linux voltada para segurança faz isso antes de desligar, não consigo pensar no nome dela.

A criptografia de disco total protege você contra alguém que está tirando o disco rígido do sistema e tentando lê-lo em outro sistema enquanto ele está inativo, caso não extraia chaves da RAM diretamente, o que é uma operação avançada.

    
por 16.08.2013 / 17:53
1

Eu postei uma resposta para uma pergunta semelhante aqui :

While the contents of the disk are encrypted, the operating system is decrypting the content of the disk on the fly in order to access it. The screen lock does little to protect the contents of the disk while the computer is running.

All the screen lock does is prevent someone from running programs / reading your screen while you're away. As long as the computer is running and the encrypted disk mounted, your data is vulnerable. Granted most thieves would just shut the machine off / reboot it once they had it.

However, if you're paranoid about your data, the inconvenience of powering down/powering up every time you walk away for a while is a small price to pay IMHO.

O fato de a maioria dos métodos de criptografia de disco completo usarem RAM para armazenar as chaves os torna apenas parcialmente seguros enquanto o sistema está em execução. O acesso via DMA via Firewire ou barramento PCI é uma possibilidade enquanto o sistema está em funcionamento e não é um chapéu de papel alumínio como alguns podem sugerir. Houve uma grande palestra na Defcon 21 sobre o problema e o trabalho sendo feito para tentar mitigá-lo (os slides da apresentação provavelmente aparecerão nos arquivos em breve, porém).

    
por 16.08.2013 / 18:11
0

Não. como outros salientaram, um adversário com acesso físico à máquina pode fazer quase qualquer coisa com dados em memória RAM.

Quando você hiberna um computador, ele armazena o RAM ativo no disco rígido. Como a chave está no RAM ativo, você está colocando sua chave em um arquivo no seu HDD, que efetivamente nunca desaparece. Existem ferramentas projetadas para invadir volumes Truecrypt, que raspam a memória RAM para a sua chave, e se o volume não estiver montado, ele voltará a verificar seu hiberfil.sys no Windows para ver se ele foi armazenado em cache no disco durante a última hibernação.

FDE é um problema porque sua chave estará sempre presente no RAM, e por essa mesma razão, ele sempre será copiado para hiberfill.sys no suspend / hibernate.

veja este tópico para exemplos de ataques práticos e uma explicação mais completa: Cracking arquivos truecrypt em minutos? Ou apenas truecrypt harddrives em minutos?

    
por 16.08.2013 / 21:27

Tags

Obtenha uma lista completa de entradas de preenchimento automático? Eu quero executar um comando rsync à meia-noite, mas pará-lo às 8h. Como posso agendar o início e término de um comando?