Bagaimana Enkripsi Boleh Dipalsukan Dengan Freezer
Geeks sering menganggap enkripsi alat palsu untuk memastikan data tetap diam. Tetapi, sama ada anda menyulitkan pemacu keras komputer anda atau storan telefon pintar anda, anda mungkin terkejut mengetahui penyulitan itu boleh dilewati pada suhu sejuk.
Tidak mungkin penyulitan peribadi anda akan dilangkau dengan cara ini, tetapi kelemahan ini boleh digunakan untuk pengintipan korporat, atau oleh kerajaan untuk mengakses data suspek jika suspek enggan mendedahkan kunci penyulitan.
Bagaimana Penyulitan Buatan Penuh berfungsi
Sama ada anda menggunakan BitLocker untuk menyulitkan sistem fail Windows anda, ciri penyulitan terbina dalam Android untuk menyulitkan storan telefon pintar anda, atau sebilangan besar penyelesaian penyulitan cakera penuh lain, setiap jenis penyelesaian penyulitan berfungsi sama.
Data disimpan pada storan peranti anda dalam bentuk yang telah dienkripsi dan dirangka. Apabila anda boot komputer atau telefon pintar anda, anda digesa untuk laluan frasa penyulitan. Peranti anda menyimpan kunci penyulitan dalam RAM dan menggunakannya untuk menyulitkan dan mendekripsi data selama peranti anda tetap dihidupkan.
Dengan mengandaikan bahawa anda mempunyai kata laluan skrin kunci yang ditetapkan pada peranti anda dan penyerang tidak dapat meneka, mereka perlu memulakan semula peranti anda dan boot dari peranti lain (seperti pemacu denyar USB) untuk mengakses data anda. Walau bagaimanapun, apabila peranti anda padam, kandungan RAMnya hilang dengan cepat. Apabila kandungan RAM hilang, kunci penyulitan hilang dan penyerang akan memerlukan frasa laluan penyulitan anda untuk menyahsulit data anda.
Inilah cara penyulitan biasanya dianggap berfungsi, dan itu sebabnya syarikat pintar menyulitkan komputer riba dan telefon pintar dengan data sensitif pada mereka.
Remanence Data dalam RAM
Seperti yang kita nyatakan di atas, data hilang dari RAM dengan cepat selepas komputer dimatikan dan RAM kehilangan kuasa. Seorang penyerang boleh cuba cepat reboot komputer riba yang disulitkan, boot dari batang USB, dan jalankan alat yang menyalin kandungan RAM untuk mengekstrak kunci penyulitan. Walau bagaimanapun, ini biasanya tidak berfungsi. Kandungan RAM akan hilang dalam beberapa saat, dan penyerang akan keluar dari nasib.
Masa yang diperlukan untuk menghilangkan data dari RAM boleh diperluas dengan ketara dengan menyejukkan RAM. Penyelidik telah melakukan serangan yang berjaya terhadap komputer menggunakan penyulitan Microsoft BitLocker dengan menyemburkan kaleng udara termampat terbalik pada RAM, membawanya ke suhu rendah. Baru-baru ini, penyelidik meletakkan telefon Android dalam peti sejuk selama sejam dan kemudian dapat memulihkan kunci penyulitan dari RAMnya selepas menetapkannya semula. (Pembuat boot perlu dikunci untuk serangan ini, tetapi secara teorinya mungkin untuk mengeluarkan RAM telefon dan menganalisisnya.)
Apabila kandungan RAM disalin, atau "dibuang," ke fail, mereka boleh dianalisis secara automatik untuk mengenal pasti kunci penyulitan yang akan memberikan akses kepada fail yang disulitkan.
Ini dikenali sebagai "serangan boot-sejuk" kerana ia bergantung kepada akses fizikal ke komputer untuk merebut kekunci penyulitan yang tersisa dalam RAM komputer.
Bagaimana Untuk Mencegah Serangan Dingin-Boot
Cara paling mudah untuk mengelakkan serangan boot sejuk adalah dengan memastikan bahawa kunci penyulitan anda tidak berada di RAM komputer anda. Sebagai contoh, jika anda mempunyai komputer riba korporat yang penuh dengan data sensitif dan anda bimbang ia mungkin dicuri, anda perlu mematikannya atau memasukkannya ke dalam mod hibernate apabila anda tidak menggunakannya. Ini menghilangkan kunci penyulitan dari RAM komputer - anda akan diminta memasukkan semula kata laluan anda apabila anda memulakan komputer lagi. Sebaliknya, meletakkan komputer ke dalam mod tidur meninggalkan kunci penyulitan yang tinggal di RAM komputer. Ini meletakkan komputer anda berisiko serangan boot sejuk.
"TCG Platform Reset Reset Mitigation Attack" adalah respon industri terhadap kebimbangan ini. Spesifikasi ini memaksa BIOS peranti untuk menimpa memori semasa boot. Walau bagaimanapun, modul memori peranti boleh dialih keluar dari komputer dan dianalisis pada komputer lain, memintas langkah keselamatan ini. Pada masa ini tidak ada cara untuk membantah serangan ini.
Adakah Anda Sentiasa Perlu Merisaukan?
Sebagai geeks, sangat menarik untuk mempertimbangkan serangan teoritis dan bagaimana kami dapat menghalangnya. Tetapi hendaklah jujur: Kebanyakan orang tidak perlu risau tentang serangan-serangan ini. Kerajaan dan syarikat yang mempunyai data sensitif untuk melindungi akan mahu menanggung serangan ini dalam fikiran, tetapi geek purata tidak perlu risau tentang hal ini.
Sekiranya seseorang benar-benar mahukan fail yang disulitkan, mereka mungkin akan cuba untuk mendapatkan kunci penyulitan anda daripada mencuba serangan boot sejuk, yang memerlukan lebih banyak kepakaran.
Kredit Imej: Frank Kovalcheck di Flickr, Alex Gorzen di Flickr, Blake Patterson di Flickr, XKCD