Cold Boot Attack auf Truecrypt mit Hibernation

Reply to Cold Boot Attack auf Truecrypt mit Hibernation on Thu, 25 Feb 2010 09:56:54 GMT

abcd — Thu, 25 Feb 2010 09:56:54 GMT

Hallo Forum,

ich habe gehört das Truecrpyt im Hibernation Modus verwundbar ist für eine Cold Boot Attack. Stimmt das? Aber doch nur wenn das RAM Image auf einer unverschlüsselten Partition abgelegt ist! Ansonsten sehe ich keinen Unterschied zw einer Hibernation Attacke und einer normalen Attacke. Wenn mein PC also einige Minuten aus habe kann nichts mehr passieren:

The attack relies on the data remanence property of DRAM and SRAM to retrieve memory contents which remain readable in the seconds to minutes after power has been removed

Quelle: Cold Boot Attack

Vielen Dank

Peter

Reply to Cold Boot Attack auf Truecrypt mit Hibernation on Thu, 25 Feb 2010 11:06:33 GMT

SeppJ — Thu, 25 Feb 2010 11:06:33 GMT

Du verwechselst wild Begriffe, aber ja: Es gibt eine Attacke, die darauf basiert Hardwarezugriff auf die RAM-Riegel zu nehmen, selbst wenn diese ausgeschaltet sind. Das kann auch noch 20 min nach dem Ausschalten funktionieren.

Und es gibt/gab einen zweiten Angriff, wo man den Schlüssel im Suspend-to-Disk Ruhezustand von der Festplatte lesen kann. Ich weiß nicht, ob dies noch aktuell ist, das hatte glaube ich eine recht hohe Priorität das Problem zu beheben. Trat glaube ich auch nur bei der Windowsversion auf.

In beiden Fällen gilt: Der Angreifer braucht Hardwarezugriff. Sofern es sich nicht um einen gestohlenen Laptop handelt, kann man davon ausgehen, dass jemand der sich Hardwarezugriff auf einen Heimrechner verschaffen kann auch einfachere Mittel einsetzen kann, um an die Daten zu gelangen. Gegen den StD Angriff kann man sich natürlich wehren, indem man es einfach nicht benutzt. Sofern es überhaupt noch aktuell ist.

Reply to Cold Boot Attack auf Truecrypt mit Hibernation on Thu, 25 Feb 2010 15:32:07 GMT

abcd — Thu, 25 Feb 2010 15:32:07 GMT

Ja aber wenn das Ram Image das bei der Hibernation erstellt wird selbst wiederum auf der verschlüsselten Partition liegt und der Rechner nun 21 Minuten aus war, dann kann man das PW weder aus dem RAM lesen, noch aus dem Image.

Ich habe die Aussage aus einem Foliensatz von Jacob Applebaum, das Truecrypt im Hibernation Modus verwundbar sei. Vielleicht löscht TC die Passwörter beim normalen Herunterfahren (-> nicht für eine CBA verwundbar), kommt jedoch im Hibernation Modus nicht dazu, weil schliesslich das RAM Image noch geschrieben werden muss. Ansonsten kann ich mir die extra Erwähnung von TC im Zusammenhang mit Hibernation nicht erklären.

Reply to Cold Boot Attack auf Truecrypt mit Hibernation on Thu, 25 Feb 2010 15:55:46 GMT

SeppJ — Thu, 25 Feb 2010 15:55:46 GMT

abcd schrieb:

Ja aber wenn das Ram Image das bei der Hibernation erstellt wird selbst wiederum auf der verschlüsselten Partition liegt und der Rechner nun 21 Minuten aus war, dann kann man das PW weder aus dem RAM lesen, noch aus dem Image.

Jupp.

Ich habe die Aussage aus einem Foliensatz von Jacob Applebaum, das Truecrypt im Hibernation Modus verwundbar sei. Vielleicht löscht TC die Passwörter beim normalen Herunterfahren (-> nicht für eine CBA verwundbar), kommt jedoch im Hibernation Modus nicht dazu, weil schliesslich das RAM Image noch geschrieben werden muss. Ansonsten kann ich mir die extra Erwähnung von TC im Zusammenhang mit Hibernation nicht erklären.

Möglich. Sind die Folien online lesbar?

Reply to Cold Boot Attack auf Truecrypt mit Hibernation on Thu, 25 Feb 2010 17:30:00 GMT

abcd — Thu, 25 Feb 2010 17:30:00 GMT

Da muß ich leider zurück rudern. Ich habe die Info von jemanden, welcher diese wiederum aus besagtem Foliensatz hat. Ich hab mal im Internet geschaut und dieses gefunden:
http://www.linuxworld.com/events/2008/S3-080728_07:16:34.pdf
http://chaosradio.ccc.de/25c3_m4v_2922.html

Es geht scheinbar darum den Computer aus Hibernation zu holen und ihn dann zu Crashen. Ist die Platte jedoch encrypted braucht man beim Hibernation ja das Passwort...