Я использую Truecrypt для полного шифрования дисков моего компьютера. Безопасно ли спать или блокировать мой компьютер, или это позволит кому-либо обойти шифрование диска и получить доступ к данным на дисках, как если бы они не были зашифрованы?
3 ответа
Для полного шифрования диска необходим ключ в оперативной памяти для шифрования / дешифрования данных в режиме реального времени.
Так -
Firewire имеет режим DMA-подобный, который в основном позволяет сканировать всю оперативную память системы. Полные дисковые ключи могут быть восстановлены из оперативной памяти целевой системы, если она подключена через Firewire к хосту, на котором работает нужное программное обеспечение, и целевая система имеет драйвер Firewire, который поддерживает это. Ваша система уязвима для этого, если она заблокирована. Я не уверен, что возможно ли Firewire читать вашу оперативную память, пока она спит.
Если ваша система находится в режиме гибернации, перед отключением питания вся оперативная память сбрасывается в файл гибернации. Я полагаю, что Truecrypt помечает страницы своего драйвера как-то, чтобы предотвратить это, но пока вы сохраняете файл гибернации на зашифрованном томе, вы должны быть в безопасности.
DRAM требует времени, чтобы распасться после отключения питания. Теоретически, злоумышленник может удалить оперативную память из вашей системы. возможно, обрызгайте его консервированным воздухом, чтобы понизить температуру и увеличить скорость затухания, и поместить его в систему или инструмент, который сканирует оперативную память и извлекает из нее ключи. Также возможно отключить питание вашей системы, загрузиться с живого компакт-диска и таким образом восстановить их ключи из ОЗУ.
Если оперативная память отключена и достаточно разрушена, получить ключи от нее невозможно, и ваши зашифрованные данные в этой ситуации безопасны.
Конечно, первый и третий элементы относятся к уровню жестяной фольги, но для предотвращения этого вам следует полностью отключить систему, когда вы ее не используете, и запустить Memtest86+ или диагностику системы, чтобы очистить ОЗУ. По крайней мере, один дистрибутив Linux, ориентированный на безопасность, делает это до выключения, я не могу вспомнить его название.
Полное шифрование диска защищает вас от того, что кто-то вынимает жесткий диск из системы и пытается прочитать его в другой системе, пока он спит, если они не извлекают ключи из ОЗУ напрямую, что является сложной операцией.
Я разместил ответ на похожий вопрос здесь:
Пока содержимое диска зашифровано, операционная система дешифрует содержимое диска на лету, чтобы получить к нему доступ. Блокировка экрана мало защищает содержимое диска во время работы компьютера.
Все, что блокирует экран, это запрещает кому-либо запускать программы или читать ваш экран, пока вас нет. Пока компьютер работает и монтируется зашифрованный диск, ваши данные уязвимы. Разумеется, большинство воров просто выключали или перезагружали машину, как только они ее получали.
Однако, если вы параноидально относитесь к своим данным, неудобство выключения / включения питания каждый раз, когда вы уходите на какое-то время, является небольшой ценой, чтобы заплатить IMHO.
Тот факт, что большинство современных методов полного шифрования диска используют ОЗУ для хранения ключей, делает их только частично защищенными во время работы системы. Доступ к DMA через Firewire или шину PCI возможен, когда система работает, и не совсем так, как некоторые могут предположить. На Defcon 21 был большой разговор о проблеме и работе, предпринимаемой, чтобы попытаться смягчить ее (хотя слайды для презентации, вероятно, скоро появятся в архивах ).
Нет. Как отмечали другие, злоумышленник с физическим доступом к машине может делать практически все с данными в оперативной памяти.
Когда вы переводите компьютер в спящий режим, он кеширует активную память на жесткий диск. так как ключ находится в активной памяти, вы помещаете свой ключ в файл на жесткий диск, который фактически никогда не исчезает. Существуют инструменты, предназначенные для разбиения на тома Truecrypt, которые очищают оперативную память для вашего ключа, и если ваш том не смонтирован, он вернется к проверке файла hiberfil.sys в Windows, чтобы узнать, был ли он кэширован на диск во время последней спящей среды.
FDE - проблема, потому что ваш ключ всегда будет присутствовать в оперативной памяти, и по этой же причине он всегда будет копироваться в hiberfill.sys в режиме ожидания / гибернации.
см. эту ветку для примеров практических атак и более полного объяснения:взломать файлы truecrypt за считанные минуты?Или просто зашифровать жесткие диски за считанные минуты?