HDD暗号化へのクールな攻撃
New Research Result: Cold Boot Attacks on Disk Encryption
Lest We Remember: Cold Boot Attacks on Encryption Keys » Center for Information Technology Policy
Abstract Contrary to popular assumption, DRAMs used in most modern computers retain their contents for seconds to minutes after power is lost, even at operating temperatures and even if removed from a motherboard. Although DRAMs become less reliable when they are not refreshed, they are not immediately erased, and their contents persist sufficiently for malicious (or forensic) acquisition of usable full-system memory images. We show that this phenomenon limits the ability of an operating system to protect cryptographic key material from an attacker with physical access. We use cold reboots to mount attacks on popular disk encryption systems — BitLocker, FileVault, dm-crypt, and TrueCrypt — using no special devices or materials. We experimentally characterize the extent and predictability of memory remanence and report that remanence times can be increased dramatically with simple techniques. We offer new algorithms for finding cryptographic keys in memory images and for correcting errors caused by bit decay. Though we discuss several strategies for partially mitigating these risks, we know of no simple remedy that would eliminate them.
プリンストン大学による研究成果の発表について。今日は誰も彼もがこの話題について書いているもよう。もうこれはCoolとしか言いようがない。まいった。
電源を切ればPCのメモリ(DRAM)内のデータはすぐに消えると、これまで一般的には信じられていたが、この研究では
- 電源を切ってもすぐにデータは消えない
- その間にメモリからデータを取得できる
- メモリの中には暗号化の鍵が保存されているので、HDDのデータを復号できちゃう
- 電源を切ってすぐにDRAMを強制的に冷やすと、データの保持時間が長くなる
- 別に特殊な機材は必要ない
などの衝撃的な事実が明らかになっている。
PCがサスペンドした状態やスクリーンセーバーロック状態などで盗まれたら、いくらHDD全体を暗号化していても安全ではないということがこれで証明されてしまった。メモリ内の鍵情報をその都度消去するといった対策が今後は必要になってくる。それでもこの攻撃を全て防ぐことはできないが。
(この件に言及しているブログなどいろいろ)
Disk encryption may not be secure enough, new research finds - CNET
Researchers: Disk Encryption Not Secure | WIRED
Cold Boot Attacks Against Disk Encryption - Schneier on Security
InfoSec Handlers Diary Blog - In memory of hard disk encryption?
Windows Incident Response: Important Memory Update
http://opentechpress.jp/security/article.pl?sid=08/02/22/0954222
ほとんどのHDD暗号化を解いてしまうというデモ:Geekなぺーじ
404 Blog Not Found:iTech - 電源を落としてもDRAMは落ちず
