최대 FileVault2 보안을 위해 최대 절전 모드가 권장되는 이유는 무엇입니까?

10

FileVault 2 보안에 대한 많은 토론은 다음을 사용하도록 제안합니다.

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

이러한 논의 중 일부는 정상적인 깨우기 사용 중에 FileVault 키가 RAM에 저장되는 반면 EFI 펌웨어에 저장되어 있다고 말합니다.

  1. 머신이 깨어 있고 RAM 또는 펌웨어에서 실행되는 동안 키는 어디에 저장됩니까?

  2. 정확히 무엇을 destroyfvkeyonstandby합니까? 예를 들어, 파일을 삭제하면 파일이 지워지지 않으므로 복구 할 수 있습니다. 않는 destroyfvkeyonstandby메모리 해제를 수행 (삭제) 또는 와이프 (키를 보유하는 데 사용 중이던 메모리를 덮어 쓰기)?

  3. 을 사용하는 경우 destroyfvkeyonstandby즉시 에너지 절약 이외의 최대 절전 모드로 전환하면 어떤 이점이 있습니까? 키를 닦은 경우 RAM 전원을 켜두면 어떤 위험이 있습니까?

mountain-lion  security  filevault 
남자 이름
소스

답변:

3

  1. 정상적인 사용 중에는 키가 RAM에 저장되므로 Firewire 또는 Thunderbolt를 통한 DMA 공격에 취약합니다 ( Inception 등 ). 이것은 오래된 공격 세트이며, Apple은 일부 절전 모드 (예 : 내용을 디스크에 덤프 한 후 RAM의 전원을 제거함) 중에 해당 장치의 일부 기능비활성화hibernatemode 25 합니다. 보안 강화를 위해 빠른 사용자 도 비활성화해야합니다 다른 공격 경로이므로 전환합니다 .)

  2. 애플이하는 일이 이치에 맞지 않는 것은 사소한 일이기 때문이다. 자세한 내용은 Cambridge의 보안 연구원 몇 명이 제공 한 FileVault 2 분석 에서 수집 할 수 있습니다 .

  3. 실제 암호를 우회하기 위해 RAM을 쓸 수도 있습니다 ( Inception 참조 ). 디스크에 덤프하고 깨우면 다시로드하면 내용이 변경되지 않도록합니다.

roguesys
소스
답변과 링크에 감사드립니다! 이것들과 추가 자료에 따르면 정보가 여전히 RAM에있는 시스템에 대한 시작 유형 공격 외에도 filevault 키를 잠금 해제 한 암호를 RAM에서도 사용할 수 있습니다. 따라서 "destroyfvkeyonstandby 1"을 통해 filevault 키를 파괴하더라도 RAM에 여전히 전원이 공급되는 경우 해당 키를 잠금 해제하는 암호를 RAM에서 쉽게 사용할 수 있습니다. "최대 절전 모드 25"를 사용하여 RAM 전원을 차단하면 RAM의 다른 모든 암호도 제거됩니다.
Michael
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.