Je nepravdepodobné, že vaše osobné šifrovanie bude týmto spôsobom zablokované, ale táto zraniteľnosť by mohla byť použitá pri firemnej špionáži alebo vládami na prístup k údajom podozrivých, ak podozrivý odmietne sprístupniť šifrovací kľúč.
Ako funguje full-disk šifrovanie
Či už používate nástroj BitLocker na zašifrovanie súborového systému Windows, vstavanú funkciu šifrovania v systéme Android na zašifrovanie úložného priestoru vášho smartfónu alebo ľubovoľný počet ďalších riešení šifrovania s plným diskom, každý typ riešenia šifrovania funguje podobne.
Údaje sa ukladajú do ukladacieho priestoru zariadenia v šifrovanej, zdanlivo skomolenej podobe. Pri zavádzaní počítača alebo smartfónu budete vyzvaní na prístupovú frázu šifrovania. Váš prístroj uloží šifrovací kľúč do pamäte RAM a použije ho na šifrovanie a dešifrovanie údajov tak dlho, ako zariadenie zostane zapnuté.
Za predpokladu, že máte v zariadení nastavené heslo uzamknutej obrazovky a útočníci to nedokážu odhadnúť, budú musieť na prístup k vašim údajom reštartovať vaše zariadenie a zaviesť z iného zariadenia (napríklad z jednotky USB flash). Keď sa však prístroj vypne, obsah RAM zmizne veľmi rýchlo. Keď zmizne obsah pamäte RAM, šifrovací kľúč sa stratí a útočníci budú potrebovať vašu prístupovú frázu na šifrovanie na dešifrovanie vašich údajov.
Takto sa všeobecne predpokladá, že šifrovanie funguje, a preto inteligentné spoločnosti šifrujú prenosné počítače a smartfóny s citlivými údajmi o nich.
Zostatok údajov v pamäti RAM
Ako sme uviedli vyššie, údaje rýchlo zmiznú z pamäte RAM potom, čo sa počítač vypne a RAM stratí napájanie. Útočník by sa mohol pokúsiť rýchlo reštartovať šifrovaný prenosný počítač, zaviesť z USB kľúča a spustiť nástroj, ktorý kopíruje obsah pamäte RAM na extrahovanie šifrovacieho kľúča. To by však normálne nefungovalo. Obsah RAM sa stratí v priebehu niekoľkých sekúnd a útočník nebude mať šťastie.
Čas potrebný na vymazanie údajov z pamäte RAM je možné výrazne rozšíriť chladením pamäte RAM. Výskumníci vykonali úspešné útoky proti počítačom pomocou šifrovania BitLocker od Microsoftu tým, že rozstrekovali plechovku stlačeného vzduchu hore nohami na pamäť RAM a priniesli ju do nízkych teplôt. V poslednej dobe vedci položili telefón s Androidom do mrazničky na hodinu a následne mohli obnoviť šifrovací kľúč z RAM po jeho vynulovaní. (Tento zavádzací systém je potrebné odomknúť, ale bolo by teoreticky možné vybrať telefón RAM a analyzovať ho.)
Akonáhle sú obsahy pamäte RAM skopírované alebo "vyradené" do súboru, môžu sa automaticky analyzovať na identifikáciu šifrovacieho kľúča, ktorý umožní prístup k šifrovaným súborom.
Toto je známe ako "útok za studena", pretože závisí od fyzického prístupu k počítaču, aby mohol chytiť šifrovacie kľúče zostávajúce v RAM počítača.
Ako zabrániť útokom za studena
Najjednoduchším spôsobom, ako predísť útoku za studena, je zabezpečiť, aby šifrovací kľúč nebol v pamäti RAM počítača. Napríklad, ak máte firemný prenosný počítač plný citlivých údajov a obávate sa, že by to mohlo byť odcudzené, mali by ste ho vypnúť alebo ho prepnúť do režimu dlhodobého spánku, keď ho nepoužívate. Tým sa odstráni šifrovací kľúč z pamäte RAM počítača. Po opätovnom spustení počítača sa zobrazí výzva na opätovné zadanie hesla. Naproti tomu uvedenie počítača do režimu spánku opúšťa šifrovací kľúč, ktorý zostáva v pamäti RAM počítača. Tým sa vystavuje riziku útokov za studena.
"Špecifikácia zmierňovania útoku na obnovu platformy TCG" je odvetvovou odpoveďou na tento problém. Táto špecifikácia prinúti BIOS zariadenia na prepísanie pamäte počas zavádzania. Pamäťové moduly zariadenia však môžu byť odstránené z počítača a analyzované na inom počítači, čím sa toto bezpečnostné opatrenie obíde. V súčasnosti neexistuje žiadny spôsob, ako zabrániť tomuto útoku.
Naozaj potrebujete sa obávať?
Ako geeki je zaujímavé zvážiť teoretické útoky a ako ich môžeme zabrániť. Ale buďme úprimní: väčšina ľudí sa nemusí obávať týchto útokov za studena. Vlády a korporácie s citlivými údajmi na ochranu budú chcieť mať na pamäti tento útok, ale priemerný geek by sa o to nemal obávať.
Ak niekto naozaj chce vaše šifrované súbory, pravdepodobne sa pokúsi získať váš šifrovací kľúč z vás, a nie pokúsiť sa o útok za studena, čo si vyžaduje väčšiu odbornosť.
