Grundlegende Lücke bei Festplattenverschlüsselung

4. April 2008, 11:15
127 Postings

Alle bekannten Lösungen unter Windows, Linux und Mac OS X betroffen - Gekühlter Speicher behält Schlüssel lange genug um sensible Inhalte auszulesen

Dass selbst Festplattenverschlüsselung keine hunderprozentigen Schutz für die eigenen Daten bedeutet, haben nur ForscherInnen der Princeton University in Zusammenarbeit mit der Electronic Frontier Foundation demonstriert. Demnach lassen sich alle bekannten Verschlüsselungsmethoden austricksen - so die AngreiferInnen physischen Zugriff auf den Rechner haben.

Restspannung

Den Kern der Problematik stellt dabei der Hauptspeicher des Systems dar. Dieser ist zwar im Gegensatz zur Festplatte "flüchtig", allerdings dauert es eine zeitlang bis die Restspannung nach dem Ausschalten verschwunden ist. Je nach RAM-Typ variiert dies zwischen wenigen Sekunden und einer Minute.

Schlüssel

Die Festplattenverschlüsselung funktioniert nun so, dass nach dem Eingaben des Passworts der zugehörige Schlüssel im Speicher gehalten wird. Kommt jemand an diesen Schlüssel kann er in Folge auch den Inhalt auslesen. Die ForscherInnen haben nun eine Methode entwickelt, wie dieser Schlüssel auch nach dem Ausschalten wieder hergestellt werden kann.

Trickreich

Mittels eines USB-Sticks wird in eine spezielle Umgebung gebootet, die ein Speicherabbild erstellt. Dass die Software - und das BIOS - selbst kleinere RAM-Bereiche überschreibt, soll laut den ForscherInnen kein Problem darstellen.

Ablauf

Ein denkbares Angriffsszenario wäre demnach etwa das kurzfristige Entwenden eines Rechners, der gerade im Suspend-Modus ist. Um die Methode wirklich zuverlässig funktionieren zu lassen, wird der Speicher zusätzlich mit Druckluft auf Minus 50 Grad Celsius heruntergekühlt. Dadurch bleiben die Speicherinhalten mit nur geringen Fehlern mehrere Minuten lang erhalten - ausreichend Zeit um die Software laufen zu lassen.

Tests

"Erfolgreich" getestet haben die ForscherInnen eine entsprechende Attacke mit unterschiedlichsten Lösungen, darunter Microsofts BitLocker oder Apples FileVault, aber auch das freie TrueCrypt oder die Linux-Lösung dmcrypt. Die EntwicklerInnen dieser Programme sind zwar über das Problem informiert, allerdings ist bisher keine effektive Methode zur Verhinderung solcher Attacken bekannt. Abgesehen einmal von der Lösung den Rechner statt in den Suspend zu versetzen gleich ganz auszuschalten.(red)

  • Bild nicht mehr verfügbar
Share if you care.