¿Se borraron las claves de cifrado de la RAM antes de hibernar, o cómo hacerlo (Luks y Truecrypt)?

Navega tus respuestas
6

Al usar Linux, tengo el sistema y las particiones de intercambio / hibernación encriptadas con LUKS, y las particiones de datos encriptadas con Truecrypt, y me pregunto cuándo debo poner mi computadora portátil en hibernación si las claves de encriptación se borran de la RAM antes de que la computadora se apague. , o si tengo que esperar unos minutos para ser bastante inmune a los ataques de arranque en frío.

Técnicamente, creo que es complicado que el software de encriptación lo haga, incluso si detecta que la computadora portátil va a hibernar, porque si altera la memoria antes de que se copie en el disco, los volúmenes encriptados no se restaurarán en curriculum vitae.

Probablemente solo el kernel puede alterar de forma segura la memoria y no la imagen de la memoria en el disco, pero no sabría acerca de las claves de cifrado, y tendría que borrar toda la RAM, lo que probablemente no se haga por defecto.

¿Pero quizás hay una opción del kernel para hacer eso?

¿O tal vez es posible ejecutar algún script pm-utils después de que se haya completado la hibernación pero antes de que la computadora se apague?

¿O hay otra forma de ejecutar algún programa después de hibernar pero antes de apagarlo?

¿O tal vez el kernel podría tener una opción más avanzada, permitiendo que el software publique en el kernel algunos rangos de direcciones de memoria que deben eliminarse después de la hibernación pero antes del cierre?

EDIT

Aparentemente es posible crear un shutdownramfs que se ejecute después del cierre (consulte aquí para una implementación en systemd), por lo que sería posible borrar la memoria RAM allí para el cierre. Sin embargo, no parece que se lo solicite para hibernación y la configuración parece complicada, al menos cuando no se usa systemd.

    
pregunta cyril42e 15.08.2015 - 01:53
fuente

1 respuesta

1
  
  1. Me pregunto cuándo voy a hibernar mi computadora portátil si las claves de cifrado se borran de la memoria RAM antes de apagar la computadora.
    2.   

No, porque se debe a que las claves de descifrado principales se guardan en DRAM, independientemente de la herramienta de cifrado que utilice.

  
  1. ¿O si tengo que esperar unos minutos para ser bastante inmune a los ataques de arranque en frío?
    2.   

Algunos autores afirmaron que la hibernación durante 5 minutos o más hace que la máquina sea inmune , pero más autores demostraron lo contrario, incluso del artículo que mencioné a continuación, hay una respuesta a esta pregunta que confirma el < em> no :

  

Nuestros resultados muestran que simplemente bloquear la pantalla de una computadora (es decir,   Mantener el sistema en funcionamiento pero que requiere el ingreso de una contraseña antes de   el sistema interactuará con el usuario) no protege el con-   carpas de la memoria. Suspender el estado de una computadora portátil ("dormir") también es   inefectivo, incluso si la máquina entra en bloqueo de pantalla al despertar,   ya que un adversario podría simplemente despertar la computadora portátil, apagarla y encenderla, y   luego extraer su estado de memoria. La suspensión al disco ("hibernación") puede   También será ineficaz a menos que se requiera un secreto guardado externamente para   reanudar las operaciones normales

Una otra cita dice que la hibernación es aún más vulnerable ya que existen otros métodos además de los ataques de arranque en frío:

  

Si las personas usan el modo de hibernación o de suspensión, o bloquean el teclado, son   potencialmente vulnerable de otras maneras. Solo trae la computadora de vuelta   al inicio de sesión, y comience a atacar los puertos en busca de un   vulnerabilidad sin parchear. Así que una computadora que no está completamente cerrada   down omite efectivamente la protección del cifrado completo del disco -   incluso sin el ataque de memoria de arranque en frío.

Has dicho:

  

Técnicamente, creo que es complicado para el software de encriptación   hacer eso incluso si detecta que la computadora portátil va a hibernar,   porque si altera la memoria antes de copiarla en el disco, entonces   los volúmenes cifrados no se restaurarán en el currículum.

Sí, porque hay otros procesos que continúan ejecutándose.

El resto de su pregunta está sujeta a más esfuerzos y análisis. No puedo responderles.

Está comprobado que:

  

Las DRAM ordinarias generalmente pierden su contenido gradualmente durante un período   de segundos, incluso a temperaturas de funcionamiento estándar e incluso si el   los chips se eliminan de la placa base y los datos persistirán durante   minutos o incluso horas si los chips se mantienen a bajas temperaturas

Entonces, a menos que la memoria RAM de su máquina sea antigua, no debe preocuparse por este problema.

Esto es para la respuesta corta. Como las publicaciones de los sitios web de StackExchange están destinadas a durar, le reenvío para que lea más respuesta detallada a tu pregunta que no quiero reproducir aquí.

Siempre citando la respuesta a la que he vinculado, puede apagar su máquina de forma segura: 

- Keep secure data in True Crypt cascade algorithm encrypeted file
-  Use Serpent

- Create a script to handle shutdown:

           truecrypt /wipecache 
           shutdown -h now
     

/wipecache garantiza que no queden datos vulnerables en la RAM después de   apagar. Si alguien realiza Cold Boot Attack tendrá   acceso a su sistema en el mejor de los casos. No tendrán datos almacenados en un   archivo encriptado por separado.

    
respondido por el user45139 15.08.2015 - 09:00
fuente

Lea otras preguntas en las etiquetas

¿Cómo verificar qué certificado está siendo revisado para su revocación? ¿Qué herramientas se necesitan para ver o detectar mensajes ocultos en un video de 60 fps?