Posible riesgo de seguridad al cambiar la clave de cifrado del disco al disco duro

2

Recientemente he leído sobre el método de arranque en frío, donde es posible obtener la clave para un sistema de archivos cifrado desde DRAM. Esto se puede hacer incluso después de apagar la computadora, pero requiere un equipo especial que es muy difícil de obtener para la mayoría de las personas. Entonces se me ocurrió que existe un riesgo de seguridad en el que un atacante podría obtener la clave de un disco cifrado sin tener que acceder a un hardware costoso: si la página que contiene la clave se cambia al disco duro, el atacante solo tendrá que leer El espacio de intercambio para obtener la clave. No creo que los programas de cifrado de disco sobre la marcha cifren el espacio de intercambio, ya que conceptualmente es parte de la RAM, por lo que un atacante podría leer el contenido no cifrado del espacio de intercambio y obtener la clave.

He estado pensando en usar FileVault para cifrar los datos de mi Macbook en el futuro, ya que soy uno de esos tipos paranoicos. Tomé esta decisión después de enterarme de que utiliza el cifrado AES, que IMO es el mejor cifrado que existe. Pero solo estoy preocupado por esta vulnerabilidad. ¿Los programas como FileVault tienen medios para protegerse contra la clave que se intercambia a un espacio de intercambio no cifrado para que lo lea un atacante? Si es así, ¿qué es?

EDITAR: En realidad, me di cuenta de que, al menos en Mac OS X, el espacio de intercambio es parte del sistema de archivos, y está almacenado en / var / vm como acabo de descubrir, por lo tanto, en el caso de OS X, FileVault probablemente cifrará cualquier página que se intercambie en el disco duro. Este podría no ser el caso con Linux, ya que el intercambio se realiza con una partición de intercambio separada. No estoy seguro de cómo se hace en Windows.

    
pregunta Zen Hacker 25.12.2015 - 13:54
fuente

1 respuesta

3

No se pueden intercambiar todas las partes de la memoria (o correctamente paginadas) en el disco. El código adecuado que trata con datos confidenciales como claves de cifrado marcará la parte relevante de la memoria para que no se pagine. Esto es cierto tanto para el espacio de usuario como para el cifrado de espacio de kernel.

Lo que significa que puede encontrar dicha clave en la memoria pero con las aplicaciones adecuadas no las encontrará en el disco. Y creo que FileFault en OS X y también dm-crypt y cosas similares en Linux se comportan de forma segura en esta área.

    
respondido por el Steffen Ullrich 26.12.2015 - 10:24
fuente

Lea otras preguntas en las etiquetas