Взлом систем шифрования жестких дисков путем «холодной перезагрузки»

27.03.2008

Так как для доступа к зашифрованному жесткому диску необходимо иметь ключ, а он, разумеется, хранится в RAM – все, что нужно, это получить физический доступ к ПК на несколько минут. После перезагрузки с внешнего жесткого диска или с USB Flash делается полный дамп памяти и в течение считанных минут из него извлекается ключ доступа.

Таким способом удается получить ключи шифрования (и полный доступ к жесткому диску), используемые программами BitLocker, FileVault и dm-crypt в операционных системах Windows Vista, Mac OS X и Linux, а также популярной свободно распространяемой системой шифрования жестких дисков TrueCrypt.

Важность данной работы заключается в том, что не существует ни одной простой методики защиты от данного способа взлома, кроме как отключение питания на достаточное для полного стирания данных время. Однако обыкновенная практика использования ноутбука заключается в том, что мы просто закрываем крышку, после чего, ноутбук самостоятельно переходит в спящий режим. При этом система сама сохраняет дамп оперативной памяти на жестком диске, а в этом случае вообще все равно сколько времени прошло с момента отключения питания.

Наглядная демонстрация процесса представлена в видеоролике.

Мы публикуем сокращенный перевод данного крайне важного и поучительного исследования, опуская технические детали и математические выкладки, за которыми следует обратиться к первоисточнику: http://citp.princeton.edu/memory