콜드 부팅 공격을 방지하기 위해 종료시 RAM을 닦아냅니다.

내 시스템은 전체 디스크 암호화를 사용하여 암호화됩니다. 즉, / boot를 제외한 모든 항목은 dmcrypt / luks를 사용하여 암호화됩니다. 내가 염려하고 콜드 부팅 공격 연구원, 시연 , 그 내용을 추출 할 수 약 5 분 .

다음에 대한 지침을 제공 할 수 있습니까?

• 종료 / 재부팅 프로세스의 마지막 단계에서 kexec를 새 커널로 트리거하는 방법 (깨끗한 마운트 해제, 파일 시스템 손상 방지, 이전 커널 덮어 쓰기 보장)
• 모든 램을 지우는 커널을 만드는 방법

즉, Ubuntu에서 동일한 작업을 수행하는 방법을 설명해 주시겠습니까?

종료를 감지하는 방법? RAM 지우기를 시작하는 방법? 사용자가 "종료"를 클릭하거나 "공황 스크립트"를 시작하면 RAM을 삭제해야합니다.

당신의 노력에 감사드립니다!

이전 작업 :

• 테일 RAM 와이프 소개
• tails RAM Wipe 구현에 대한 추가 정보
• Liberte Linux RAM 와이프 소개
• Liberte Linux RAM Wipe 구현에 대한 추가 구현 세부 사항
• memtest는 모든 것을 삭제하지 않습니다
• RAM 와이프가 작동하는지 테스트
• 테일 메일 링리스트 토론
• 다른 테일 메일 링리스트 토론
• 커널 버그 리포트

이 기능이 현실화되는 것을보고 싶다면 Ubuntu Brainstorm에 투표하십시오!

http://brainstorm.ubuntu.com/idea/30076/

DDR2, 512MB 또는 1024MB와 같은 오래된 RAM을 사용하지 않는 경우 CBA에 대해 걱정할 필요가 없습니다.

여기 에서 독창적 인 연구 자료를 살펴보십시오 (PDF).

주의 깊게 읽으면 DDR2 이상 만이 공격에 취약하다는 것을 알 수 있습니다. DDR3은 컴퓨터 케이스 분리 및 동결 절차를 수행하기에 너무 빠른 전압을 잃습니다. 따라서 문에 응답하기 전에 플러그를 당기십시오.

또한 이 백서 는 DDR3가 CBA에 취약하지 않다는 것을 확인합니다. DDR2 RAM이있어 실제로 보안을 유지하려면 BIOS에서 활성화하십시오.

1. 정전 후 자동 시작
2. 부팅시 RAM 확인

DDR3과 동일하지만 플러그를 뽑은 후 다시 연결하십시오. 컴퓨터가 시작되어 램을 점검하여 초기화합니다. 충분히 효율적으로 지우지 않으면 부팅 프로세스가 시스템을 RAM에 다시로드합니다. CBA를 허용하기에는 너무 빠릅니다.

댓글로 제공 한 링크 에서 :

결론적으로, 콜드 부팅 공격은 의심스러운 컴퓨터 시스템의 메모리를 얻는 기본 방법으로 간주되어서는 안됩니다. 대신, 시스템에 대한 콜드 부팅 공격을 수행하기 전에 소프트웨어 및 하드웨어 기반 수집 (예 : FireWire)을 포함한 다른 기술을 시도해야합니다. 그러나 위에서 언급 한 기술을 사용할 수 없거나 (FireWire 연결 또는 시스템 로그인 콘솔이 없거나 원격 메모리 획득이 불가능한) 상황이 발생하면 조사관이 두 가지를 모두 이해한다고 가정하고 콜드 부팅 공격이 수행 될 수 있습니다. 어떻게 그리고 어디서 문제가 발생하고 엉망이 될 수 있습니다.
이 연구에서 알 수 있듯이, 콜드 부트 공격은 여기에 수행 된 대부분의 실험에서 메모리 상주 암호화 키를 찾아야하지만 추출 할 수 없었기 때문에 특히 법 의학적으로 건전하거나 신뢰할 수있는 것으로 확립 될 수 없습니다. 대부분의 실험에서 발견 된 것보다 훨씬 더 많은 문자열과 키워드를 찾아야하는 다양한 문자열과 키워드 검색에 대해서도 마찬가지입니다. 더욱이, 입증 된 바와 같이, 단지 플래시-프리 컴퓨터 메모리의 동작 만이 상기 메모리의 성공적인 획득을 보장하지는 않는다. 이미 조사 된 다른 요인과 변수는 이러한 문제와 그 근본 원인을 완전히 조사했습니다. 그러므로,
마지막으로, 거의 또는 전혀 저하되지 않은 성공적인 획득조차도 법정에서 적어도 법적 증거가 발생하고 획득 된 메모리의 무결성이 소리를 사용하여 온전한 것으로 입증 될 때까지 건전한 증거로 나타나지 않을 것입니다. 이해할 수있는 방법론. 이 조사는 용의자의 컴퓨터 메모리를 획득하는보다 적절하고 안정적인 방법을 계속 확립하고 있습니다 ...

또한 실험 결과를 확인하면 시스템 2 및 6에서만 AES 키를 성공적으로 추출했으며 시스템 2-1024MB RAM 533 MHz의 사양을 볼 때 웜 부트 공격이라는 것을 알 수 있습니다. 물건. 다른 시스템-256 RAM / 128 RAM이있는 시스템 6-이 시스템은 설명이 필요합니다.

이것이 바로 그들의 결론이 다음과 같은 이유입니다.

이 조사는 용의자의 컴퓨터 메모리를 획득하는보다 적절하고 안정적인 방법을 계속 확립하고 있습니다 ...

실제로 매우 중요한 데이터가 있으면 Full Drive Encryption을 사용해야 할뿐만 아니라 별도의 암호화 된 파일로 보관해야한다고 생각합니다. 캐스케이드 알고리즘과 다른 암호로 암호화되어 디스크 암호화 중에 사용됩니다. 안전한 PC 종료 방법을 원하십니까? 여기있어:

1. True Crypt 캐스케이드 알고리즘 암호화 파일에서 안전한 데이터 유지
2. 뱀 사용
3. 종료를 처리 할 스크립트를 작성하십시오.

Windows의 경우 :

truecrypt.exe /wipecache
shutdown -s -f -t 1

Linux의 경우 :

truecrypt /wipecache
shutdown -h now

캐시 지우기는 종료 후 RAM에 취약한 데이터가 남아 있지 않도록합니다. 누군가 콜드 부팅 공격을 수행하면 시스템에 최대한 액세스 할 수 있습니다. 별도로 암호화 된 파일에 데이터가 저장되지 않습니다.

UCLA의 Peter AH Peterson은 개념 증명 기술을 작성하고 암호화 된 RAM으로 시스템을 안전하게 실행하기위한 이론을 개발 했으며이 솔루션은 콜드 부팅 공격을 방지하도록 명시 적으로 설계되었습니다. 그의 논문의 이름은 Cryptkeeper입니다. 그가 소프트웨어를 다운로드 할 수 있는지 또는 UCLA로부터 라이센스를 취득 할 수 있는지는 잘 모르겠습니다. 그러나, 적어도 원칙적으로, RAM의 전체 내용이 공개 되더라도 안전한 RAM 용 암호 시스템을 설계하는 것이 가능하다.

이 솔루션의 측정 된 성능 영향은 시나리오의 "병리학 적"상태에 따라 9 %의 오버 헤드와 9 배의 속도 저하 사이 에 있습니다. 9 % 수치는 Firefox를 사용하여 웹을 탐색하는 데 적용되는 것으로 언급되었지만 유스 케이스가 9의 성능 저하를 초래할 수있는 사례를 언급하지 않았습니다.

Peterson의 솔루션은 제안한대로 RAM을 "닦아 내지"않습니다. 오히려 "보안 키 숨김 메커니즘"을 사용하여 RAM의 내용을 가져 오기만해도 암호 해독 키가 공개되지 않도록합니다. 구현의 세부 사항을 잘 모르겠지만 논문에 설명되어 있다고 가정합니다.

이 논문은 2010 년에 출판되었습니다.

IEEE의 ieeexplore 웹 사이트에서 구입할 수 있습니다. 또한 누군가의 웹 사이트에서 무료로 PDF로 직접 다운로드 할 수 있습니다. Google 검색 결과에 "cryptkeeper RAM"에 대한 검색 결과가 표시되지만 그 결과가 얼마나 오래 유지되는지 잘 모르겠습니다.

이 솔루션은 사용자가 요청한대로 RAM을 "닦아 내지"않기 때문에 답변이 아닌 의견을 남기고 싶었습니다. 그러나 Peterson의 연구가 기술적으로 정확하다면 이것은 RAM을 지우는 것과 같은 실질적인 효과 또는 아마도 "더 나은"효과가있을 것이라고 생각합니다. 그 이유는 숙련 된 물리적 공격자가 시스템 프로그램이 RAM을 삭제하려는 시도를 방해 할 수 있기 때문입니다. 완전한. Peterson의 솔루션은 컴퓨터가 지우기를 완료하기 위해 명령을 계속 실행할 수있는 필요한 시간 창을 기반으로하지 않기 때문에보다 안전합니다. 대신, 기억은 끊임없이 공격자에게 대응할 기회를 갖기 전에 놀라운 기술에 의해 CPU 자체가 즉시 종료 되더라도 보호됩니다.

그리고 "믿을 수없는 기술의 위업"은 Stuxnet과 같은 것을 의미합니다.

나는 상상 있는 memtest86가 RAM을 닦아 꽤 좋은 것. 나는 항상 아래를 시도하고 싶었지만하지 않았습니다. 시도하면 업데이트합니다.

kexec매뉴얼 페이지를 읽으십시오 . kexec.iso를 시도하지 말고 iso의 압축을 풀고 부팅 가능한 바이너리를 잡아야합니다. 위의 memtest86 사이트에서 바이너리를 다운로드 할 수 있습니다.

kexec부팅 할 대상을 먼저로드 하려면 명령 을 사용해야합니다 .

그래서 당신이 할 수있는 일은 다음과 같습니다.

kexec -l {path-to-memtest86-bootable-binary} --append=console=ttyS0,115200n8

그리고 방아쇠를 당길 준비가되면 :

kexec -e

나는 --append=console=ttyS0,115200n8memtest86이 직렬 포트를 통해 작동 한다고 생각합니다 (그러나 잘못 될 수 있음) . 따라서 비디오 출력에 표시되지 않더라도 작동하는 것을 확인할 수 있습니다. memtest86이 비디오 초기화를 수행하지 않기 때문일 수 있습니다. X의 실행중인 인스턴스를 종료하는 것이 좋습니다.

데비안 kexec-tools패키지 (우분투에서도 사용 가능)는 이것을 종료 스크립트에 연결하므로 편집 /etc/default/kexec하면 종료 프로세스 kexec가 재부팅 대신 최종 프로세스로 호출 되도록 할 수 있습니다 . 즉, 완전 종료에 관심이있는 경우입니다.

응급 상황에서는 효과 sync; kexec -e가 있습니다.

그러나 일부 칩셋은 일단 초기화되면 특정 메모리 영역이 해결되면 잠금이 발생할 수 있습니다. 이것이 실제로 어떻게 작동하는지 모르겠습니다.

좋은 타협이 경우 kexec작업은 부트 로더에있는 memtest86을 설치 기본 부팅 항목으로 넣어, 자동의 선택 (또는 지연이 한 수많은를 불러옵니다 키 누르기에 의존)까지 1 초 지연을 가지고하지 않습니다. 이렇게하면 "신선한 부팅"조건에서 memtest86에 상당히 빠르게 도착할 수 있지만 즉각적으로는 불가능합니다.

이것은 비디오 RAM을 설명하지 않습니다. 이에 대한 해결책은 비디오 RAM을/dev/random 블록 장치로 설정하고 몇 번의 반복을 위해 블록 장치로 출력 하는 것입니다.

이것은 오래된 질문이지만 내가 기여할 수 있다고 생각합니다. 앞에서 말했듯이 소프트웨어 기반 메모리 와이프가 최선의 해결책은 아닙니다. 단순히 전원이 갑자기 차단되어 와이프 소프트웨어가 실행되지 않기 때문입니다.

문제를 설명하는 가장 좋은 시나리오를 상상할 수 있습니다. 집에있는 컴퓨터에서 불법 사업을 운영하고 있습니다. 어느 날 갑자기 전력이 사라지고 FBI 팀이 집 문을 습격하여 체포 한 다음 괴상한 기술자가 컴퓨터 케이스를 빠르게 열고 컴퓨터 내부에 차가운 가스를 사용하여 메모리 상태를 고정시켜 일부를 구매합니다. 콜드 부팅 공격을 할 시간입니다.

따라서이 문제를 해결하는 가장 좋은 방법은 컴퓨터 케이스를 더 안전하게 만드는 것입니다 (볼트와 같은 것을 열 수 없음). 배터리로 구동되는 저항을 사용하여 보드를 가열하여 변조로 인해 메모리가 손상되는 경우도 있습니다. 경우에 전환하십시오. 고온에서 몇 초 안에 데이터가 손상되거나 칩이 손상 될 수 있습니다. 마녀는이 상황에서 큰 문제가되지 않습니다.

문제는 컴퓨터가 실행 중이고 화면이 잠겨있는 경우입니다. 이 시점에서 AES 키는 RAM에 저장되며 사용자는 컴퓨터에서 멀리 떨어져 있습니다. 침입자는 컴퓨터 케이스를 열고 RAM 모듈을 분리하면서 전원을 켜고 콘텐츠를 읽는 별도의 장치에 배치 할 수 있습니다. 추출하기 전에 시스템을 종료하거나 모듈을 정지시킬 필요가 없습니다. RAM은 AES 키를 보유 할 수는 없지만 프로세서의 캐시는 TRESOR라는 솔루션과 같습니다. 불행히도 그것은 오래된 리눅스 커널과 커널 패치와 컴파일에 대한 고급 지식이 필요합니다.

미안하지만 당신은 편집증입니다. 첫째, 다른 사용자가 지적했듯이 콜드 부트 공격은 구형 하드웨어에서만 작동합니다.

여전히 위협이라고 생각되면 와이 핑이 해결책이 아닙니다.

콜드 부트 공격에는 다음이 포함됩니다.

• 머신 콜드 부팅
• 메모리에서 암호화 키를 청소하기 위해 경량 OS 부팅

누군가가 콜드 부팅을 수행하면 와이퍼가 도망 갈 기회가 없을 것입니다. 따라서 하나를 설치하는 것은 의미가 없습니다.

이것이 공격의 주요 사례입니다. 이제 공격자가 실행중인 서버를 콜드 부팅하지 않고 (예 : 모니터링 경고를 트리거하기 때문에) 완전히 종료 된 후 5 분 이내에 공격을 수행하기를 기다립니다. 이 경우 :

• 일반적인 RAM 와이퍼는 당신에게도 좋지 않습니다. 공격자는 컴퓨터의 전원을 켜고 키를 청소하기 위해 물리적으로 존재한다고 가정하기 때문에 와이퍼가 실행되기 직전에 시스템을 콜드 부팅 할 수도 있습니다. (이 시점에서 모니터링 경고가 예상됩니다.)
• 나머지 RAM을 삭제하기 전에 FS 암호화 키의 정확한 위치를 먼저 지우는 특수 프로그램 (예 : truecrypt /wipecachemnmnc에 의해 언급 됨)은 공격자의 작업을 더욱 어렵게 만들 수 있습니다. 아직도:
  • 공격자는 와이퍼가 전체 RAM을 통과하지 못하도록하여 일부 RAM 내용을 청소할 수 있습니다. 그러나 적어도 FS에있는 대부분의 데이터는 안전합니다.
  • 이 솔루션은 100 % 완전하지는 않습니다. 공격자가 콜드 부팅 시간을 맞추기가 더 어려워집니다.

따라서이 공격에 대해 정말로 걱정한다면 셧다운을 할 때마다 쿵푸를 배우고 기계 옆에 5 '를 지키십시오. 아니면 BIOS에서 부팅 암호를 사용 하시겠습니까? 제안 된 두 가지 방법 모두 100 % 효과적 일 필요는 없습니다. 공격자는 여전히 기술적 수단을 사용하여 사용자를 이길 수 있고 MB에서 BIOS 암호를 읽을 수 있습니다. 공격 시간 창이 만료되도록 5 분 동안 지연시켜야합니다.

마지막으로, 누군가가 원격으로 전체 업적을 수행하는 것에 대해 걱정한다면 이미 열심히 일한 것입니다.