Forscher knacken Festplatten-Verschlüsselung


  • recon
  • 1864 Aufrufe 16 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Forscher knacken Festplatten-Verschlüsselung

    Wie die Electronic Frontier Foundation (EFF) jetzt bekannt gab, hat ein Forscherteam ein schwerwiegendes Sicherheitsleck bei verschlüsselten Datenträgern entdeckt. Betroffen sind fast alle bekannten Encryption-Systeme.

    Kleine Ursache, große Wirkung

    Durch ein Video wurde der Fehler bereits bei Windows Vistas BitLocker, Apples FileVault, Linux´ dm-crypt sowie die kostenlose und weit verbreitete Software TrueCrypt (alle Systeme) bestätigt. Da es sich nicht um einen spezifischen Bug handelt, sind wahrscheinlich auch alle Anwendungen betroffen, die nach dem gleichen Prinzip arbeiten. Das Problem liegt darin, dass der entsprechende Key nach dem Aktivieren des Standby-Betriebs noch bis zu einer Minute im RAM gehalten wird. Startet man den Rechner anschließend wieder, ist es mit bestimmten Programmen möglich, den Schlüssel aus dem Arbeitsspeicher auszulesen. Nötig sind dafür laut EFF neben der Software nur ein Laptop mit Ethernetkabel oder ein USB-Flash-Laufwerk und wenige Minuten Zeit. Wird das Notebook gestohlen oder der PC für einige Zeit aus den Augen gelassen, können Angreifer so ohne großen Aufwand an sensible Daten kommen, vorausgesetzt, das System befindet sich im Ruhezustand. Die Passwortabfrage für Benutzer bietet bei dieser Art von Attacke keinen Schutz.

    Rechner mit TPM besonders gefährdet

    EFF gibt auch bekannt, dass selbst ein vollständiges Ausschalten bei manchen Rechnern keine 100-prozentige Sicherheit bringt. Besonders betroffen sind Systeme mit TPM (Trusted Platform Module) in Kombination mit BitLocker: Hier kann der Key selbst nach dem Ausschalten noch zuverlässig ermittelt werden. Darüber hinaus weisen die physikalischen Eigenschaften des Speichers noch die Besonderheit auf, dass niedrige Temperaturen für ein noch längeres Verbleiben der Daten im RAM sorgen. Das Forscherteam hat herausgefunden, dass schon einfache Druckluft aus Dosen zur Kühlung ausreicht. In Verbindung mit der Tatsache, dass die Informationen auch dann noch vorhanden sind, wenn der RAM aus dem Mainboard entfernt wird, ergeben sich zahlreiche neue Möglichkeiten für Datendiebe.

    Noch keine Abhilfe in Sicht


    EFF hat die betroffenen Unternehmen bereits informiert. Die einzige gute Nachricht ist, dass die Programme von EFF selbst stammen und somit vorläufig nicht in die falschen Hände geraten. Finstere Gesellen werden jedoch wahrscheinlich in nur wenigen Tage oder Wochen einen adäquaten Ersatz entwickelt haben. Bis die Hersteller eine Lösung anbieten, sollte man also noch ein bisschen besser auf seinen Rechner aufpassen.


    Quelle: onlinekosten.de
  • Naja, mir kommt dieser Bericht ein wenig seltsam vor:
    Wenn Standby-Modus Suspend-to-RAM meint, dann stimmt das geschriebene nicht, im Suspend-to-RAM Modus werden die Inhalte des RAMs nicht gelöscht.
    Im Gegensatz zum Suspend-to-Disk Modus, der einem herunterfahren gleichkommt.

    Desweiteren besteht der Schutz einer Vollverschlüsselung darin das abgeschaltete System zu schützen, sind die "Feinde" erst einmal am laufenden System dran hat man schon verloren.

    Edit: Außerdem übersehen dabei alle dass man normalerweise nicht automatisch von USB bzw. CD booten kann. Zumindest ich habe in meinem System die Boot-Reihenfolge anders eingestellt, und das BIOS ist natürlich PW gesichert.

    Edit2: Was ist das Problem daran einfach kurz den Key im RAM zu überschreiben falls man den Laptop / PC unbeaufsichtigt lässt oder jemand hereinstürmt?
  • Passend zum Thema:

    Festplatten-Verschlüsselung mit Speicherkühlung ausgetrickst
    Speicherchips ohne Strom verlieren Informationsinhalte nicht sofort

    Princeton (pte/22.02.2008/13:23) - Eine Methode, gängige Festplatten-Chiffrierungssysteme auszutricksen, haben Forscher des Center for Information Technology Policy der Universität Princeton Princeton University - Welcome vorgestellt. Ansatzpunkt ist, dass Information in gängigen DRAM-Speicherchips mitunter noch für Minuten erhalten bleibt, wenn die Stromzufuhr unterbrochen wird. Mit physischem Zugriff auf die DRAM-Chips ist es dadurch möglich, die Schlüssel für die Chiffrierung zu stehlen. Werden die Speicherelemente gekühlt, bleibt die Information sogar noch länger erhalten und ist daher leichter zu stehlen.

    mehr...


    Gruß
    Broken Sword
    Auf dem Abstellgleis sah man ihn liegen,
    Auf dem Abstellgleis zwischen Schwelle und Gestein,
    Auf dem Abstellgleis im strömenden Regen,
    Auf dem Abstellgleis allein.
  • bloodycross schrieb:

    und das BIOS ist natürlich PW gesichert.


    du scherzkeks... schonmal was von einem cmos reset gehört..? da hilft dir dein tolles bios pw auch nix .. :löl:
    ausserdem hat jedes bios master pws, mit denen man auch ohne cmos reset hineinkommt.. die ganze sache mit bios und system pw is ne farce und kann spielend ausgetrickst werden...
  • SusHa schrieb:

    du scherzkeks... schonmal was von einem cmos reset gehört..? da hilft dir dein tolles bios pw auch nix .. :löl:
    ausserdem hat jedes bios master pws, mit denen man auch ohne cmos reset hineinkommt.. die ganze sache mit bios und system pw is ne farce und kann spielend ausgetrickst werden...


    lol... dazu fällt mir nur mein geiles bios auf meinem laptop ein... wenn ichs mit dem power-button starte, muss ich mein user-passwort oder supervisorpasswort eingeben... aber wenn ich den media-center-button drücke, startet es mit farbigen firmenlogo und ohne passwortabfrage... das ist doch auch irgendwie nen kack...
  • welches programm meinst du? verschlüsselung? ist truecrpyt, steht aber auch oben drin... und das mit dem rechner ausschalten wird nicht viel bringen... stlel dir das so vor... der ram ist sozusagen eine rutschige platte, auf welcher die daten (teller) abgelegt werden... ist nen raster drauf, teller da =1, teller weg =0 ... sooo... dein key wird nun von den tellern da abgelegt. der rechner fährt runter. ergebnis: die teller bleiben trotzdem erst mal liegen, je nach temperatur ist die oberfläche mehr oder weniger rutschig und die teller brauchen dementsprechend mehr oder weniger lange, um vom tisch zu rutschen... (vgl. hierbei auch das vereisen: die teller / elektronen werden sozusagen festgefroren, da bei geringeren temperaturen sich auch elektronen langsamer bewegen) ... deshalb müsstest du schon deinen ram verbrennen oder ein programm schreiben, was beim shutdown den ganzen ram einmal vollschreibt und wieder löscht... denn dann ist alles weg... ;)
  • locutus schrieb:

    und das mit dem rechner ausschalten wird nicht viel bringen...


    natürlich bringt es was.. wenn du den artikel gelesen hast, dann wirst du merken, dass da steht, dass nach dem herunterfahren die daten nur eine gewisse zeit noch da drin bleiben... als beispiel: würden wir mal eine hausdurchsuchung annehmen, wären die daten im ram längst weg, wenn die beamten der polizei den rechner in ihrem lager wieder hochfahren... denn die werden wohl kaum mal eben selbst einen rechner mitnehmen und den ram austauschen oder sowas... (denn für alle anderen wäre ein solches verfahren sinnlos... es ist zwar gut zu wissen, dass es eine lücke gibt, aber ausnutzen wird die wohl so gut wie keiner können...)
  • Interessanter Artikel ;) Da renitert es sich auf jeden Fall tiefer zu graben! Meiner Meinung wurde physikalische Eigenschaften von PCs sowieso zu wenig ausgenutzt bisher. Gerade in Halbleiterbausteinen finden sich sicher etliche sogenannter "Sicherheitslücken".

    Auf jeden Fall ein Thema das es wert ist weiterverfolgt zu werden :D

    Lg
    RamsesV
  • Ist mein Rechner jetzt noch sicher ???

    RamsesV schrieb:

    Interessanter Artikel ;) Da renitert es sich auf jeden Fall tiefer zu graben!


    Da kann ich meinem Vorposter nur zustimmen. :D

    Hab mir das Video mal angeschaut !!!

    Da haben sich ein paar Leutz mal was nettes einfallen lassen!!! :read:

    Hoffe die Softindustrie bzw. die Hardwareindustrie wird da nachhaken und ihre Software bzw. Hardware verbessern!!!

    Auch der gute Bill von WINDOOF muss sich da was einfallen lassen!!! :eek:

    Gruss BG J. O´Neill
  • Wie schaut es denn eigentlich aus, wenn ich Passwort und Schlüsseldatei verwende?
    Wird dann die Schlüsseldatei auch gespeichert und kann vom RAM wiederhergestellt werden oder wie?
    "Der Klang eines Wortes hat nicht nur eine Bedeutung, er ist eine Bedeutung."
    (Pietro Bembo 1525)
  • BG J. O´Neill schrieb:

    Auch der gute Bill von WINDOOF muss sich da was einfallen lassen!!! :eek:

    Irgendwie missfällt mir die Formulierung (nicht nur hier, doch geb ich halt nur mal hier meinen Senf zu ab^^) - denn Bill Gates hat vermutlich seit 10a keine Probleme an irgendwelcher M$-Software gelöst - sondern vermutlich nur irgendwelche Schlüsselentscheidungen getroffen (wo stellen wir neue Mitarbeiter ein, wo entlassen wir evtl. welche, wird in Vista doch ein neues Dateisystem verwendet oder bleiben wir nach dem ersten Fehlschlag doch erstmal bei NTFS, ...).
    Außerdem ist das aus meiner Sicht das letzte, worüber sich MS Gedanken machen brauch - viel eher sollten sie sich mal Gedanken darüber machen, wie man die Administratorpasswörter ordentlich sichert ;)

    @2501:
    Beides wird im RAM gespeichert und kann somit rein theoretisch wiederhergestellt werden. Verwendest du jedoch eine relativ große Schlüsseldatei, ist die Wahrscheinlichkeit um einiges höher, dass das PW und die Schlüsseldatei nicht vollständig wiederhergestellt werden kann.

    Für den durchschnittlichen Raubkopierer, der bis zu 2 TB verschlüsselt hat, kann das aus meiner Sicht weitestgehend egal sein - denn bis die Grünen bei kleinen Raubkopierern solche Maßnahmen ergreifen, bedarf es meines Erachtens nach noch viel Zeit, da sie ihre "stinknormalen" Beamten so schulen müssen (da die ja die Durchsuchung machen).
    Gedanken sollten sich da eher wirklich Kriminelle machen (Terroristen, Drogenhändler), da da die Wahrscheinlichkeit höher ist, dass die Grünen bei einer Hausdurchsuchung einen Labormitarbeiter dabei haben :) (wär richtig so)

    Bei TC gibt es auch die Optionen "Wipe cached passwords on exit" und "Wipe cached passwords on auto-dismount" - heißt das, dass die im RAM gespeicherten PWs oder die im Cache der HDD gespeicherten PWs überschrieben werden oder evtl. beides überschrieben wird?


    Na ja - ich persönlich würde, wenn welche in Grün vor meiner Tür stehen würden, nicht gleich aufmachen, sondern erstmal zum Rechner gehen, einen Shortcut verwenden, der den Effekt hat, dass die PWs überschrieben werden, und anschließend meinen PC ausschalten ;)

    fu_mo