¿Puede extraer la clave de cifrado de una computadora con cifrado de disco completo a través de malware?

Question

¿Puede extraer la clave de cifrado de una computadora con cifrado de disco completo a través de malware?

#1 de LSerni (3 votos)

5

Recientemente descubrí el tema de los ataques de arranque en frío que pueden extraer la clave de cifrado de la memoria RAM después de que la computadora se haya apagado. y por lo que entiendo es que la policía puede entrar en las casas de las personas y verter nitrógeno líquido sobre la computadora de la gente para la llave.

Pero luego pensé en esto: si puedes robar la llave de la memoria RAM, ¿no tendría más sentido si solo instalaran malware en la computadora de los sospechosos para obtenerlo (si es posible, por supuesto)? por lo que la pregunta final es: ¿es posible extraer la clave de cifrado de forma remota a través de malware fuera de la memoria RAM, y si es posible, ¿por qué la policía no usa este método en lugar de un ataque de arranque en frío?

key-management malware disk-encryption

pregunta blacklight 14.06.2016 - 08:58

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management malware disk-encryption

Token de verificación de autenticación basada en tiempo ¿Qué tan identificable es una caricatura hecha de una foto?

score 3 · Accepted Answer

¿es posible extraer la clave de cifrado de forma remota a través de malware fuera de la memoria RAM, y si es posible, ¿por qué la policía no utiliza este método en lugar de un ataque de arranque en frío?

Por supuesto que es posible. El software malicioso requiere para lograr privilegios de acceso a la publicidad en la memoria del controlador de cifrado; ambas cosas pueden hacerse difíciles, pero de ninguna manera son imposibles.

¿Por qué la aplicación de la ley no utiliza este método (que en realidad no requiere el robo de ninguna clave? Por lo general, cuando se desbloquea el FDE, se puede acceder al disco mediante cualquier proceso, incluido el malware, por lo que el problema es cómo eliminar el robo información): ¿quién dice que no? En el lugar donde vivo, tuvimos un gran escándalo no hace mucho, por el cual una empresa de software fue pirateada y funcionó para varios gobiernos. Desarrollaron lo que era, para todos los efectos, un malware dirigido.

Los ataques de arranque en frío y el malware no son mutuamente exclusivos, puede tener ambos a su disposición y emplear lo que mejor se adapte al caso específico en cuestión.

Desde un punto de vista legislativo, creo que los ataques de arranque en frío se consideran equivalentes a una incautación, mientras que la instalación de malware es más bien un área gris: es algo equivalente a una emboscada o un punto de control, pero también implica alterar el objetivo. Sistema, que en algunos casos puede hacer que cualquier evidencia reunida sea completamente inutilizable, el equivalente a forzar la cerradura de la puerta de un sospechoso. Sí, los agentes de la ley pueden ingresar en cualquier momento, pero también lo podría hacer teóricamente cualquier otra persona, haciendo que cualquier evidencia sea cuestionable por fin.

Por ejemplo, si el malware permitía el control remoto del sistema de destino, se debe tener cuidado para asegurar que no sea posible el acceso no autorizado al malware por partes desconocidas, con el fin de plantar la evidencia que el malware podría generar. .

Finalmente, el malware puede ser detectado e incluso subvertido, lo que lo hace menos deseable desde el punto de vista de las autoridades.