Apakah Mengunci atau meletakkan komputer ke mode Tidur aman dengan enkripsi disk penuh?

Jawaban:

5

Enkripsi disk penuh, karena kebutuhan, memerlukan kunci dalam RAM untuk mengenkripsi / mendekripsi data secara real time.

Jadi -

  • Firewire memiliki mode seperti DMA yang pada dasarnya memungkinkan seseorang untuk memindai seluruh RAM sistem. Kunci disk penuh dapat dipulihkan dari RAM sistem target jika terhubung melalui Firewire ke host yang menjalankan perangkat lunak yang tepat dan sistem target memiliki driver Firewire yang mendukung ini. Sistem Anda rentan terhadap ini jika terkunci. Saya tidak yakin apakah Firewire bisa membaca RAM Anda saat sedang tidur.

  • Jika sistem Anda hibernasi, semua RAM dibuang ke file hibernasi sebelum dimatikan. Saya percaya Truecrypt menandai halaman drivernya untuk mencegah hal ini, tetapi selama Anda menyimpan file hibernasi pada volume yang dienkripsi Anda harus aman.

  • DRAM membutuhkan waktu beberapa saat untuk membusuk setelah mati. Secara teoritis dimungkinkan bagi musuh untuk menghapus RAM dari sistem Anda. mungkin semprotkan dengan udara kalengan untuk menurunkan suhu dan memperpanjang laju peluruhan, dan memasukkannya ke dalam sistem atau alat yang memindai RAM dan mengekstrak kunci dari sana. Dimungkinkan juga untuk menghidupkan daya sistem Anda, mem-boot CD langsung, dan memulihkan kunci mereka dari RAM dengan cara itu.

Jika RAM dimatikan dan telah rusak cukup, tidak mungkin untuk mendapatkan kunci darinya, dan data terenkripsi Anda aman dalam situasi ini.

Tentu saja item pertama dan ketiga adalah barang tingkat kertas timah, tetapi untuk mencegahnya, Anda harus mematikan sistem sepenuhnya ketika Anda tidak menggunakannya, dan menjalankan Memtest86 + atau diagnostik sistem Anda untuk menghapus RAM. Setidaknya satu distribusi Linux yang berfokus pada keamanan melakukan ini sebelum matikan, saya tidak bisa memikirkan namanya.

Enkripsi disk penuh tidak melindungi Anda terhadap seseorang yang mengeluarkan hard drive dari sistem dan mencoba membacanya di sistem lain ketika sedang tidur jika mereka tidak mengekstrak kunci dari RAM secara langsung, yang merupakan operasi tingkat lanjut.

LawrenceC
sumber
1

Saya mengirim jawaban untuk pertanyaan serupa di sini :

Sementara isi disk dienkripsi, sistem operasi mendekripsi isi disk dengan cepat untuk mengaksesnya. Kunci layar tidak banyak melindungi isi disk saat komputer sedang berjalan.

Semua kunci layar yang dilakukan adalah mencegah seseorang menjalankan program / membaca layar Anda saat Anda pergi. Selama komputer berjalan dan disk terenkripsi terpasang, data Anda rentan. Memang sebagian besar pencuri hanya akan mematikan mesin / reboot setelah mereka memilikinya.

Namun, jika Anda paranoid tentang data Anda, ketidaknyamanan mematikan / menghidupkan setiap kali Anda pergi sebentar adalah harga kecil untuk membayar IMHO.

Fakta bahwa kebanyakan metode enkripsi disk penuh saat ini menggunakan RAM untuk menyimpan kunci membuatnya hanya sebagian aman saat sistem sedang berjalan. Akses DMA melalui Firewire atau PCI bus adalah suatu kemungkinan ketika sistem sedang berjalan dan tidak sebaik kertas timah seperti beberapa orang mungkin sarankan. Ada banyak pembicaraan di Defcon 21 mengenai masalah dan pekerjaan yang dilakukan untuk mencoba dan mengatasinya (slide untuk presentasi mungkin akan segera muncul di arsip ).

Justin Pearce
sumber
0

Tidak. Seperti yang ditunjukkan orang lain, musuh dengan akses fisik ke mesin dapat melakukan hampir semua hal dengan data dalam ram.

Ketika Anda hibernasi komputer, cache aktif ram ke hard disk Anda. karena kuncinya dalam ram aktif, Anda menempatkan kunci Anda dalam file di hdd Anda, yang secara efektif tidak pernah hilang. Ada alat yang dirancang untuk membobol volume Truecrypt, yang mengikis ram untuk kunci Anda, dan jika volume Anda tidak dipasang, itu akan jatuh kembali untuk memeriksa hiberfil.sys Anda di windows untuk melihat apakah itu di-cache ke disk selama hibernasi terakhir.

FDE adalah masalah karena kunci Anda akan selalu ada di ram, dan untuk alasan yang sama, selalu akan disalin ke hiberfill.sys di suspend / hibernate.

lihat utas ini untuk contoh serangan praktis dan penjelasan yang lebih lengkap: Meretas file truecrypt dalam hitungan menit? Atau hanya truecrypt harddrives dalam hitungan menit?

Frank Thomas
sumber
FDE is a problem because your key will always be present in ram, and for that same reason, it will always get copied to hiberfill.sys on suspend/hibernate.Oke, tapi bukankah poin @ LawrenceC bahwa dengan FDE hiberfil.sys ada pada drive terenkripsi yang valid? Saat Anda memulai komputer yang hibernasi dengan TrueCrypt FDE, Anda harus memberikan kunci enkripsi. Bukankah seseorang harus mendekripsi volume di tempat pertama untuk membaca kunci dari hiberfil.sys (dalam hal ini fakta bahwa hiberfil.sys berisi kunci adalah akademik)?
Adi Inbar
BTW, saya ingin mengklarifikasi bahwa diskusi ini hanya berlaku untuk hibernasi, bukan menangguhkan atau tidur. Menempatkan komputer FDE dalam mode sleep (Windows) atau suspend (Linux) memang membiarkan kunci terbuka, tetapi itu karena itu tidak menghapus RAM; tidak ada yang ditulis untuk hiberfil.sys atau ruang swap.
Adi Inbar
Tidur dan Hibernasi berbeda. Tidur atau mengunci komputer membuat sistem tetap di-boot, sehingga kuncinya masih dalam ram dan dapat diakses oleh pelayan jahat mana pun: serang schneier.com/blog/archives/2009/10/evil_maid_attac.html
Frank Thomas