EINFÜHRUNG

Krakmi ist
Programm (normalerweise kleine Größe 1-2
Kilobyte), für die Sie ein Passwort finden müssen
oder einen Schlüssel erstellen. Crammies werden normalerweise geschrieben
um den Wissensstand der Menschen auf diesem Gebiet zu testen
Kryptographie und Programm-Hacking. Krak mi
kommt von der englischen Phrase Crack Me –
Hacke mich.

Irgendwie habe ich
Es war notwendig, die Unterstützung für „Registrierung“ einzufügen.
Schlüssel zu einem der kommerziellen Programme. An
Ich hatte diesen Moment der Erfahrung in dieser Angelegenheit
ziemlich viel, ich habe einmal versucht, es zu hacken
ein paar Crackme, aber nichts hat funktioniert und ich
warf es schnell. Aber als der Anreiz kam, habe ich
Ich habe beschlossen, mit Crackme zu beginnen und arbeite jetzt daran
Studium verschiedener Verschlüsselungsalgorithmen
Daten (wie DES, TWODES, RSA und andere). Ganz
Es ist möglich, dass es in meinen nächsten Artikeln darum geht
Verschlüsselungsalgorithmen, seitdem
Der Einsatz dieser Algorithmen ist von Bedeutung
erhöht den Zeitaufwand für das Hacken.

ARTEN VON CRACKME

Angesichts
Verschiedene Risse, ich habe zwei Hauptrisse identifiziert
Typ: mit Rissen verschlüsselt und enthaltend
nur der Algorithmus.

Entschlüsseler
Cracmi des ersten Typs enthält normalerweise
viele Anti-Debugging-„Techniken“ (Komplexität).
Die Art dieser Techniken hängt vom Wissensstand ab
die Person, die das Krami geschrieben hat, am meisten
Gängige Techniken können leicht vermieden werden
Leute und Debugger, die unter arbeiten
geschützter Modus) und davor
Um mit der Analyse des Algorithmus zu beginnen, müssen Sie Folgendes erhalten
entschlüsselter Code. Umso schwieriger
zu entziffern, umso (höchstwahrscheinlich) schwieriger
Es wird einen Algorithmus zum Erraten des Passworts (oder der Passwörter) geben.
zu ihm. Sehr oft stellt sich das heraus
ein Algorithmus mit 300 Bytes kann schwieriger zu knacken sein,
wie man Crackmi entschlüsselt. Ohne Wissen
Ich empfehle auch nicht, Mathematik zu unterbrechen
die den RSA-Algorithmus (Algorithmus) verwenden
Public-Key-Verschlüsselung) oder
ähnlich. Natürlich ist es besser, damit anzufangen
unverschlüsselte Cracks. Ich empfehle es auch nicht
Versuchen Sie, die Cracks aus den Gruppen UCL, UCF, rPG, SOS zu brechen
- Sie werden nur Ihre Zeit verschwenden.

In einigen
Krakmi muss aber nicht das Passwort kennen
Erstellen Sie einen Registrierungsschlüssel. Verfahren
So etwas kaputt zu machen ist nicht viel
unterscheidet sich von „Passwort“, ist aber „näher“
zur Zerstörung von Programmen.

BREAKING-ALGORITHMUS
CRACKME

Komplexe Risse
Durch Brute-Force werden Passwörter gebrochen, z
Aus diesem Grund werden kleine Programme geschrieben. Öfters
Es gibt nur ein Passwort. Komplexität
steigt aufgrund der Größe des Bedarfs
Passwort und die Zeichen, aus denen es bestehen soll
bestehen.

Algorithmus:

Analyse
Algorithmus zur Passwortüberprüfung

Schreiben
keygen (Programm zum Erraten von Passwörtern)

Starten des Keygen

ALGORITHMUSANALYSE
PASSWORTPRÜFUNGEN

Zur Analyse
Sie sollten den Algorithmus sorgfältig studieren
Passwortprüfungen. Hierfür nutzen Sie Ihr
Lieblings-Debugger (Soft Ice, TD, DeGlucker...), den Sie benötigen
Schauen Sie sich genau an, was überprüft wird
Passwort. Es kann durch einen Test überprüft werden
Betrag (crc), in diesem Fall höchstwahrscheinlich das Passwort
wird rohe Gewalt suchen müssen, sonst könnte er es tun
dann von irgendeinem Charakter überprüft
Sie können das gesamte Passwort „erraten“ oder zumindest
ein paar seiner Symbole, der Rest muss
Suche mit roher Gewalt.

Prüfen
Die Summe des Codeabschnitts ist eine Zahl (normalerweise zwei).
oder vier Bytes, vielleicht in Crackmi
verwendet und ein Byte), welches
enthält Informationen zu diesem Codeabschnitt.
Verfahren, die üblicherweise bei Krebstieren angewendet werden
primitive Prüfsummenberechnung (z. B
Archivierer verwenden crc32). Lassen Sie uns überlegen
Beispiel eines Algorithmus, der rechnet
Prüfsumme:

Zum Beispiel jeder
Die Bytes des Abschnitts werden addiert und es stellt sich heraus
Zahl ist eine Zahl und eine Kontrolle
die Größe des Grundstücks. Wir haben zum Beispiel eine Handlung
Code bestehend aus 5 Bytes:

001 004 000 005 100

Prüfen
seine Summe beträgt 1+4+0+5+100=110.

Hauptsächlich
die Schwierigkeit, Cracks zu hacken, die überprüfen
Das Passwort für crc lautet, dass crc nicht zerlegt werden kann! Diese.
Wir kennen die Prüfsumme des Passworts - 110 wissen wir nicht
Wir können herausfinden, was mindestens einem davon entspricht
Passwortelemente.

KAGEN SCHREIBEN

Praktisch für
alle Arten von Cracks, die Sie zum Schreiben von Keygen benötigen,
außer der Lunge. Kann leicht kaputt gehen
fast jedes bisschen Hack
Ersetzen mehrerer Bytes), aber die Autoren fragen
Sagen Sie das Passwort, aber das Wichtigste ist verloren
Interesse.

Um zu
Ich müsste ein 3-stelliges Passwort finden
grob sortieren:255
* 255 * 255 KOMBINATIONEN

Kann reduziert werden
Anzahl der Kombinationen, zum Beispiel das Wissen in
Es werden ausschließlich englische Passwörter verwendet
Buchstaben (groß und klein), dann statt 255
Sie müssen nur 52 Zeichen durchsortieren
nur Zahlen, dass wir nur 10 durchgehen werden
Figuren.

Keygen muss
Zähler der Entschlüsselung speichern
Kombinationen. Da Passwort Brute-Force
dauert lange, dann geh
Ich kann den Computer ein paar Tage lang nicht einschalten,
plötzlich brauchst du es. Kann eingefügt werden
keygen Möglichkeit, den Zähler zu speichern
Datei, und beim Start lesen Sie es aus der Datei und
Setzen Sie die Entschlüsselung von der Unterbrechung fort
Positionen.

KEYGEN STARTEN

Passwort Brute-Force
abhängig von einigen Parametern (in
hauptsächlich von der Anzahl der möglichen Einsen im Passwort
Zeichen und die Passwortgröße) erforderlich
eine ziemlich lange Zeitspanne.
Es können mehrere Computer verwendet werden
Jeder von ihnen wird einige überprüfen
Teil der Kombinationen.

Zum Hacken verschlüsselt Dateisystem(EFS)-Software kann mit der Advanced EFS Data Recovery-Software von ElcomSoft verwendet werden. Eine Demoversion dieser Software ist unter http://www.elcomsoft.com/aefsdr.html erhältlich

Startfenster des Programms

Abb. 3. Fenster Erweiterte Programme EFS-Datenwiederherstellung

Das Programm kann geschützte Dateien nur entschlüsseln, wenn die Verschlüsselungsschlüssel (nicht alle, aber zumindest einige davon) noch im System vorhanden sind und nicht geändert wurden.

Bei Dateien, die im Windows 2000-Betriebssystem verschlüsselt sind und der Kontodatenbankschlüssel (SYSKEY) auf einer Diskette gespeichert ist oder die Option „Password Startup“ installiert wurde, müssen Sie eines der folgenden Passwörter kennen, um entschlüsseln zu können die Dateien:

Startpasswort oder Diskette Start

Passwort des Benutzers, der die Dateien verschlüsselt hat

Passwort des Wiederherstellungs-Agenten (falls möglich)

Wenn der Computer zum Zeitpunkt der Verschlüsselung der Dateien Teil einer Domäne war, können Sie die Dateien in manchen Fällen möglicherweise nicht entschlüsseln. Wenn das Passwort des Benutzers (der die Dateien verschlüsselt hat) nach der Kodierung geändert wurde, müssen Sie möglicherweise das alte Passwort in das Programm eingeben.

Hacken von Windows 9x-Passwörtern

Vergessen Sie jedoch nicht, dass es eine viel einfachere Möglichkeit gibt, Netzwerkkennwörter zu knacken. Da in den meisten Organisationen heutzutage das Betriebssystem des Client-Rechners Windows 95/98 ist, ist es dementsprechend viel einfacher, einen Hackerangriff auf den Passwortschutz dieses Betriebssystems zu organisieren, da das Passwort in einer solchen Datei nur in Großbuchstaben gespeichert wird ( in Großbuchstaben geschrieben), wenn Sie wissen, dass dies viel bequemer und einfacher ist, das später benötigte Netzwerkkennwort zu finden.

Es gibt eine große Anzahl von Programmen zum Knacken von Windows 95/98-Passwörtern, wir konzentrieren uns jedoch auf das beliebteste davon, PwlTool 6.0, an dessen Beispiel eine Untersuchung durchgeführt wurde.

Abbildung 3 zeigt das Hauptarbeitsfenster dieses Programms, das für die Arbeit auf Computern mit Windows 95/98 und Windows NT/2000 konzipiert ist.

PwlTool ist eine Reihe von Tools zur Passwortwiederherstellung. Das Hauptprogramm ist RePwl. Mit diesem Programm können Sie das manchmal vergessene oder verlorene Anmeldekennwort für Windows 95 (Original und OSR2) und Windows 98 wiederherstellen. Außerdem können Sie die in der PWL-Datei gespeicherten Kennwörter anzeigen.

Was ist eine PWL-Datei?

Windows 95/98 speichert das Passwort in einer PWL-Datei. PWL-Dateien finden Sie in Windows-Verzeichnis. Ihre Namen werden normalerweise als USERNAME.PWL gespeichert. Die PWL-Datei ist verschlüsselt und es ist nicht einfach, Passwörter daraus zu extrahieren. Der erste Verschlüsselungsalgorithmus für die Windows 95-Version wurde so erstellt, dass er die Erstellung von Programmen zum Entschlüsseln von PWL-Dateien ermöglichte. In der OSR2-Version wurde dieser Nachteil jedoch behoben.

Bewertung der Zuverlässigkeit von PWL-Dateien.

Das Passwortschutzsystem in OSR2 ist hinsichtlich der Kryptografie professionell und zuverlässig. Dennoch weist es mehrere gravierende Mängel auf, nämlich:

alle Passwörter werden in Großbuchstaben umgewandelt, dadurch wird die Anzahl der möglichen Passwörter deutlich reduziert;

Die zur Verschlüsselung verwendeten MD5- und RC4-Algorithmen ermöglichen eine schnellere, aber zuverlässige Passwortverschlüsselung Windows-Passwort muss mindestens neun Zeichen lang sein.

Das Passwort-Caching-System ist von Natur aus unsicher. Das Passwort kann nur gespeichert werden, wenn kein Unbefugter Zugriff auf Ihren Computer hat.

Forscher der Princeton University haben eine Möglichkeit entdeckt, die Festplattenverschlüsselung mithilfe einer Eigenschaft von Modulen zu umgehen Arbeitsspeicher Speichern Sie Informationen auch nach einem Stromausfall für kurze Zeit.

Vorwort

Da Sie für den Zugriff auf eine verschlüsselte Festplatte einen Schlüssel benötigen, der natürlich im RAM gespeichert ist, müssen Sie sich lediglich für einige Minuten physischen Zugriff auf den PC verschaffen. Nach dem Neustart von extern hart Auf einer Festplatte oder einem USB-Flash wird innerhalb weniger Minuten ein vollständiger Speicherauszug erstellt und der Zugriffsschlüssel daraus extrahiert.

Auf diese Weise können Sie die von BitLocker, FileVault und dm-crypt verwendeten Verschlüsselungsschlüssel (und vollen Zugriff auf die Festplatte) erhalten Betriebssysteme Windows Vista, Mac OS X und Linux sowie das beliebte kostenlose Festplattenverschlüsselungssystem TrueCrypt.

Die Bedeutung dieser Arbeit liegt in der Tatsache, dass es keine einzige einfache Methode zum Schutz vor dieser Hacking-Methode gibt, außer den Strom für eine ausreichende Zeit auszuschalten, um die Daten vollständig zu löschen.

Eine visuelle Demonstration des Prozesses finden Sie in Video.

Anmerkung

Entgegen der landläufigen Meinung wird in den meisten Fällen DRAM-Speicher verwendet moderne Computer, speichert Daten auch nach dem Ausschalten des Stroms für mehrere Sekunden oder Minuten, und dies geschieht bei Raumtemperatur und auch dann, wenn der Chip vom Motherboard entfernt wird. Diese Zeit reicht völlig aus, um einen kompletten RAM-Dump zu erstellen. Wir werden zeigen, dass dieses Phänomen es einem Angreifer mit physischem Zugriff auf das System ermöglicht, die Betriebssystemfunktionen zu umgehen, um kryptografische Schlüsseldaten zu schützen. Wir zeigen, wie mit Reloading erfolgreiche Angriffe gegen bekannte Verschlüsselungssysteme durchgeführt werden können Festplatte ohne den Einsatz spezieller Geräte oder Materialien. Wir werden experimentell den Grad und die Wahrscheinlichkeit der Beibehaltung der Restmagnetisierung bestimmen und zeigen, dass die Zeit, für die Daten erfasst werden können, mit einfachen Techniken erheblich verlängert werden kann. Außerdem werden neue Methoden zur Suche nach kryptografischen Schlüsseln in Speicherauszügen und zur Korrektur von Fehlern im Zusammenhang mit Bitverlusten vorgeschlagen. Es werden jedoch auch verschiedene Möglichkeiten zur Reduzierung dieser Risiken diskutiert einfache Lösung wir wissen es nicht.

Einführung

Die meisten Experten gehen davon aus, dass Daten aus dem RAM eines Computers fast sofort nach dem Ausschalten gelöscht werden, oder sie glauben, dass es äußerst schwierig ist, verbleibende Daten ohne den Einsatz spezieller Geräte wiederherzustellen. Wir werden zeigen, dass diese Annahmen falsch sind. Herkömmlicher DRAM-Speicher verliert Daten nach und nach über mehrere Sekunden hinweg, selbst bei normalen Temperaturen, und selbst wenn der Speicherchip von der Hauptplatine entfernt wird, verbleiben die Daten darin für Minuten oder sogar Stunden, vorausgesetzt, der Chip wird bei niedrigen Temperaturen gelagert. Restdaten können mit wiederhergestellt werden einfache Methoden, die kurzfristig erfordern Physischer Zugang an den Computer.

Wir zeigen eine Reihe von Angriffen, die es uns mithilfe der Remanenzeffekte von DRAM ermöglichen, im Speicher gespeicherte Verschlüsselungsschlüssel wiederherzustellen. Dies stellt eine echte Bedrohung für Laptop-Benutzer dar, die auf Verschlüsselungssysteme angewiesen sind Festplatte. Denn wenn ein Angreifer einen Laptop stiehlt, während die verschlüsselte Festplatte angeschlossen ist, kann er einen unserer Angriffe ausführen, um auf den Inhalt zuzugreifen, selbst wenn der Laptop selbst gesperrt ist oder sich im Energiesparmodus befindet. Wir werden dies demonstrieren, indem wir mehrere gängige Verschlüsselungssysteme wie BitLocker, TrueCrypt und FileVault erfolgreich angreifen. Auch gegen andere Verschlüsselungssysteme sollen diese Angriffe erfolgreich sein.

Obwohl wir unsere Bemühungen auf Festplattenverschlüsselungssysteme konzentriert haben, können alle im RAM gespeicherten wichtigen Informationen zum Ziel eines Angriffs werden, wenn ein Angreifer physischen Zugriff auf den Computer hat. Es ist wahrscheinlich, dass auch viele andere Sicherheitssysteme anfällig sind. Wir haben beispielsweise herausgefunden, dass Mac OS X Passwörter hinterlässt Konten Im Speicher, aus dem wir sie extrahieren konnten, führten wir auch Angriffe durch, um geschlossen zu werden RSA-Schlüssel Apache-Webserver.

Einige Gemeindevertreter Informationssicherheit Obwohl Halbleiterphysiker bereits über den Remanenzeffekt von DRAM Bescheid wussten, gab es nur sehr wenige Informationen darüber. Daher sind viele, die Sicherheitssysteme entwerfen, entwickeln oder nutzen, einfach nicht mit diesem Phänomen vertraut und wissen nicht, wie leicht es von einem Angreifer ausgenutzt werden kann. Soweit wir wissen, ist dies der erste detaillierte Arbeit Untersuchung der Folgen dieser Phänomene für die Informationssicherheit.

Angriffe auf verschlüsselte Laufwerke

Die Verschlüsselung von Festplatten ist eine bekannte Methode zum Schutz vor Datendiebstahl. Viele Menschen glauben, dass Festplattenverschlüsselungssysteme ihre Daten schützen, selbst wenn ein Angreifer physischen Zugriff auf den Computer erlangt hat (tatsächlich sind sie dafür gedacht, Anm. d. Red.). Ein im Jahr 2002 verabschiedetes Gesetz des US-Bundesstaates Kalifornien verlangt die Meldung möglicher Offenlegungen personenbezogener Daten nur dann, wenn die Daten nicht verschlüsselt wurden, denn. Man geht davon aus, dass die Datenverschlüsselung eine ausreichende Schutzmaßnahme darstellt. Obwohl das Gesetz keine spezifischen beschreibt technische Lösungen Viele Experten empfehlen die Verwendung von Verschlüsselungssystemen für Festplatten oder Partitionen, die als ausreichende Schutzmaßnahmen angesehen werden. Die Ergebnisse unserer Forschung zeigten, dass der Glaube an die Festplattenverschlüsselung unbegründet ist. Ein weniger erfahrener Angreifer kann viele häufig verwendete Verschlüsselungssysteme umgehen, wenn ein Laptop mit Daten gestohlen wird, während er eingeschaltet ist oder sich im Energiesparmodus befindet. Und Daten auf einem Laptop können auch dann gelesen werden, wenn sie sich auf einem verschlüsselten Laufwerk befinden, sodass der Einsatz von Festplattenverschlüsselungssystemen keine ausreichende Maßnahme ist.

Wir haben verschiedene Arten von Angriffen auf bekannte Festplattenverschlüsselungssysteme eingesetzt. Am meisten Zeit nahm die Installation verschlüsselter Datenträger und die Überprüfung der Richtigkeit der erkannten Verschlüsselungsschlüssel in Anspruch. Das Erhalten eines RAM-Images und die Suche nach Schlüsseln dauerte nur wenige Minuten und verlief vollständig automatisiert. Es gibt Grund zu der Annahme, dass die meisten Festplattenverschlüsselungssysteme anfällig für ähnliche Angriffe sind.

BitLocker

BitLocker ist ein System, das in einigen Versionen von Windows Vista enthalten ist. Es fungiert als Treiber, der zwischen dem Dateisystem und dem Festplattentreiber läuft und bei Bedarf ausgewählte Sektoren verschlüsselt und entschlüsselt. Die zur Verschlüsselung verwendeten Schlüssel bleiben im RAM, solange die verschlüsselte Festplatte verschlüsselt ist.

Um jeden Sektor einer Festplatte zu verschlüsseln, verwendet BitLocker dasselbe Schlüsselpaar, das vom AES-Algorithmus erstellt wurde: einen Sektorverschlüsselungsschlüssel und einen Verschlüsselungsschlüssel, der im CBC-Modus (Cipher Block Chaining) arbeitet. Diese beiden Schlüssel werden wiederum mit dem Hauptschlüssel verschlüsselt. Um einen Sektor zu verschlüsseln, wird eine binäre Additionsprozedur am Klartext mit dem Sitzungsschlüssel durchgeführt, der durch Verschlüsselung des Sektor-Offset-Bytes mit dem Sektorverschlüsselungsschlüssel generiert wird. Die resultierenden Daten werden dann von zwei Mischfunktionen verarbeitet, die den von Microsoft entwickelten Elephant-Algorithmus verwenden. Diese schlüssellosen Funktionen werden verwendet, um die Anzahl der Änderungen an allen Chiffrierbits zu erhöhen und dementsprechend die Unsicherheit der verschlüsselten Sektordaten zu erhöhen. Im letzten Schritt werden die Daten mit dem AES-Algorithmus im CBC-Modus unter Verwendung des entsprechenden Verschlüsselungsschlüssels verschlüsselt. Der Initialisierungsvektor wird durch Verschlüsselung des Sektor-Offset-Bytes mit dem im CBC-Modus verwendeten Verschlüsselungsschlüssel bestimmt.

Wir haben einen vollautomatischen Demo-Angriff namens BitUnlocker implementiert. In diesem Fall ein externer USB-Festplatte mit Linux-Betriebssystem und einem modifizierten Bootloader basierend auf SYSLINUX und dem FUSE-Treiber, der es Ihnen ermöglicht, BitLocker-verschlüsselte Laufwerke mit dem Linux-Betriebssystem zu verbinden. Auf einem Testcomputer mit Windows Vista war der Strom ausgeschaltet und USB angeschlossen Festplatte, und das Laden erfolgte von dort aus. Danach hat BitUnlocker den RAM automatisch auf ein externes Laufwerk verschoben, mit dem Keyfind-Programm nach möglichen Schlüsseln gesucht, alle geeigneten Optionen ausprobiert (Paare aus Sektorverschlüsselungsschlüssel und CBC-Modusschlüssel) und bei Erfolg das verschlüsselte Laufwerk angeschlossen. Sobald die Festplatte angeschlossen war, war es möglich, mit ihr wie mit jeder anderen Festplatte zu arbeiten. Auf einem modernen Laptop mit 2 Gigabyte RAM dauerte der Vorgang etwa 25 Minuten.

Bemerkenswert ist, dass dieser Angriff ohne Reverse Engineering von Software durchgeführt werden konnte. In der Dokumentation Microsoft-System BitLocker wird ausreichend beschrieben, um die Rolle des Sektorverschlüsselungsschlüssels und des CBC-Modusschlüssels zu verstehen und ein eigenes Programm zu erstellen, das den gesamten Prozess implementiert.

Der Hauptunterschied zwischen BitLocker und anderen Programmen dieser Klasse besteht in der Art und Weise, wie Schlüssel gespeichert werden, wenn das verschlüsselte Laufwerk getrennt wird. Standardmäßig in Grundmodus, BitLocker schützt den Hauptschlüssel nur mit Hilfe eines TPM-Moduls, das auf vielen modernen PCs vorhanden ist. Diese scheinbar weit verbreitete Methode ist für unseren Angriff besonders anfällig, da sie es ermöglicht, Verschlüsselungsschlüssel auch dann zu erhalten, wenn der Computer längere Zeit ausgeschaltet war, da die Schlüssel beim Hochfahren des PCs automatisch geladen werden RAM (vor dem Anmeldefenster) ohne Eingabe von Authentifizierungsinformationen.

Anscheinend sind Microsoft-Spezialisten mit diesem Problem vertraut und empfehlen daher, BitLocker in einem verbesserten Modus zu konfigurieren, bei dem Schlüssel nicht nur über TPM, sondern auch mit einem Passwort oder Schlüssel auf einem externen Gerät geschützt werden USB-Stick. Aber auch in diesem Modus ist das System angreifbar, wenn ein Angreifer in dem Moment physischen Zugriff auf den PC erhält, in dem er arbeitet (er kann sogar gesperrt sein oder sich im Schlafmodus befinden (in diesem Fall werden Zustände wie „einfach ausgeschaltet“ oder „Ruhezustand“ in Betracht gezogen). nicht anfällig für diesen Angriff).

Datentresor

Das FileVault-System von Apple wurde teilweise untersucht und rückentwickelt. In Mac OS X 10.4 verwendet FileVault einen 128-Bit-AES-Schlüssel im CBC-Modus. Bei Eingabe des Benutzerpassworts wird der Header mit dem AES-Schlüssel und dem zweiten K2-Schlüssel entschlüsselt und zur Berechnung der Initialisierungsvektoren verwendet. Der Initialisierungsvektor für den I-ten Plattenblock wird als HMAC-SHA1 K2(I) berechnet.

Wir haben unser EFI-Programm verwendet, um RAM-Images zu erstellen, um Daten von einem Macintosh-Computer zu erhalten (basierend auf Intel-Prozessor) mit einem von FileVault verschlüsselten gemounteten Laufwerk. Danach fand das Keyfind-Programm automatisch FileVault AES-Schlüssel ohne Fehler.

Ohne einen Initialisierungsvektor, aber mit dem resultierenden AES-Schlüssel, wird es möglich, 4080 der 4096 Bytes jedes Festplattenblocks (alle außer dem ersten AES-Block) zu entschlüsseln. Wir haben dafür gesorgt, dass der Initialisierungsvektor auch im Dump enthalten ist. Unter der Annahme, dass die Daten noch nicht beschädigt sind, kann ein Angreifer den Vektor ermitteln, indem er alle 160-Bit-Strings im Dump einzeln durchprobiert und prüft, ob sie einen möglichen Klartext bilden können, wenn sie dem entschlüsselten ersten Teil des Blocks binär hinzugefügt werden . Durch die Verwendung von Programmen wie vilefault, AES-Schlüsseln und einem Initialisierungsvektor können Sie eine verschlüsselte Festplatte vollständig entschlüsseln.

Bei der Untersuchung von FileVault haben wir festgestellt, dass Mac OS X 10.4 und 10.5 mehrere Kopien des Benutzerkennworts im Speicher hinterlassen, wo sie für diesen Angriff anfällig sind. Kontokennwörter werden häufig zum Schutz von Schlüsseln verwendet, die wiederum zum Schutz der Passphrasen von FileVault-verschlüsselten Laufwerken verwendet werden können.

TrueCrypt

TrueCrypt ist ein beliebtes Verschlüsselungssystem mit Open Source, läuft auf Windows, MacOS und Linux. Es unterstützt viele Algorithmen, darunter AES, Serpent und Twofish. In Version 4 arbeiteten alle Algorithmen im LRW-Modus; in der aktuellen 5. Version nutzen sie den XTS-Modus. TrueCrypt speichert den Verschlüsselungsschlüssel und optimiert den Schlüssel im Partitionsheader auf jedem Laufwerk, der mit einem anderen Schlüssel verschlüsselt wird, der vom vom Benutzer eingegebenen Passwort abgeleitet ist.

Wir haben TrueCrypt 4.3a und 5.0a unter dem Linux-Betriebssystem getestet. Wir schlossen das Laufwerk an, verschlüsselten es mit einem 256-Bit-AES-Schlüssel, trennten dann die Stromversorgung und verwendeten zum Booten unsere eigene Memory-Dump-Software. In beiden Fällen hat keyfind einen intakten 256-Bit-Verschlüsselungsschlüssel gefunden. Außerdem konnte keyfind im Fall von TrueCrypt 5.0.a den Tweak-Schlüssel des XTS-Modus wiederherstellen.

Um mit TrueCrypt 4 erstellte Datenträger zu entschlüsseln, müssen Sie den LRW-Modusschlüssel anpassen. Wir haben festgestellt, dass das System es in vier Wörtern vor dem AES-Schlüsselplan speichert. In unserem Dump war der LRW-Schlüssel nicht beschädigt. (Sollten Fehler auftreten, könnten wir den Schlüssel trotzdem wiederherstellen).

Dm-Krypta

Der Linux-Kernel enthält ab Version 2.6 integrierte Unterstützung für dm-crypt, ein Subsystem zur Festplattenverschlüsselung. Dm-crypt verwendet eine Vielzahl von Algorithmen und Modi, verwendet jedoch standardmäßig eine 128-Bit-AES-Verschlüsselung im CBC-Modus, wobei IVs nicht auf Schlüsselinformationen basieren.

Wir haben die von dm-crypt erstellte Partition mit dem LUKS-Zweig (Linux Unified Key Setup) des Dienstprogramms cryptsetup und dem Kernel 2.6.20 getestet. Die Festplatte wurde mit AES im CBC-Modus verschlüsselt. Wir haben den Strom kurz ausgeschaltet und mit einem modifizierten PXE-Bootloader einen Speicherauszug erstellt. Das Keyfind-Programm hat einen korrekten 128-Bit-AES-Schlüssel erkannt, der ohne Fehler wiederhergestellt wurde. Nach der Wiederherstellung kann der Angreifer die mit dm-crypt verschlüsselte Partition entschlüsseln und mounten, indem er das Dienstprogramm cryptsetup so ändert, dass es die Schlüssel im erforderlichen Format akzeptiert.

Schutzmethoden und ihre Grenzen

Die Implementierung eines Schutzes gegen Angriffe auf den Arbeitsspeicher ist nicht trivial, da die verwendeten kryptografischen Schlüssel irgendwo gespeichert werden müssen. Wir empfehlen, die Bemühungen darauf zu konzentrieren, Schlüssel zu zerstören oder zu verstecken, bevor ein Angreifer physischen Zugriff auf den PC erhalten kann, die Ausführung von RAM-Dump-Software zu verhindern, RAM-Chips physisch zu schützen und die Lebensdauer von RAM-Daten nach Möglichkeit zu verkürzen.

Speicher überschreiben

Zunächst sollten Sie nach Möglichkeit vermeiden, Schlüssel im RAM zu speichern. Sie müssen wichtige Informationen überschreiben, wenn sie nicht mehr verwendet werden, und verhindern, dass Daten in Auslagerungsdateien kopiert werden. Der Speicher muss vorab mithilfe von Betriebssystemtools oder zusätzlichen Bibliotheken gelöscht werden. Natürlich schützen diese Maßnahmen derzeit verwendete Schlüssel nicht, da sie im Speicher gespeichert werden müssen, beispielsweise Schlüssel, die für verschlüsselte Datenträger oder auf sicheren Webservern verwendet werden.

Außerdem muss der RAM während des Bootvorgangs geleert werden. Einige PCs können mithilfe eines Bereinigungstools so konfiguriert werden, dass beim Booten der Arbeitsspeicher gelöscht wird. POST-Anfrage(Selbsttest beim Einschalten) vor dem Laden des Betriebssystems. Wenn ein Angreifer die Ausführung dieser Anfrage nicht verhindern kann, kann er keinen Speicherauszug mit wichtigen Informationen auf diesem PC erstellen. Er hat jedoch immer noch die Möglichkeit, die RAM-Chips zu entfernen und sie mit den von ihm benötigten BIOS-Einstellungen in einen anderen PC einzusetzen.

Einschränken des Herunterladens aus dem Netzwerk oder von Wechselmedien

Viele unserer Angriffe wurden über Downloads über das Netzwerk oder von Wechselmedien durchgeführt. Der PC muss so konfiguriert sein, dass zum Booten von diesen Quellen ein Administratorkennwort erforderlich ist. Es ist jedoch zu beachten, dass selbst wenn das System so konfiguriert ist, dass es nur von der Hauptfestplatte startet, ein Angreifer die Festplatte selbst ändern oder in vielen Fällen den NVRAM des Computers zurücksetzen kann, um ein Rollback durchzuführen Grundeinstellungen BIOS.

Sicherer Schlafmodus

Die Ergebnisse der Studie zeigten, dass das einfache Sperren des PC-Desktops (das heißt, das Betriebssystem funktioniert weiterhin, aber um mit ihm interagieren zu können, Sie müssen ein Passwort eingeben) den Inhalt des RAM nicht schützt. Der Ruhezustand ist auch dann nicht wirksam, wenn der PC beim Zurückkehren aus dem Ruhezustand gesperrt ist, da ein Angreifer die Rückkehr aus dem Ruhezustand aktivieren, dann den Laptop neu starten und einen Speicherauszug erstellen kann. Auch der Ruhezustand (der RAM-Inhalt wird auf die Festplatte kopiert) hilft nicht, außer in Fällen, in denen wichtige Informationen auf entfremdeten Medien verwendet werden, um den normalen Betrieb wiederherzustellen.

Bei den meisten Festplattenverschlüsselungssystemen können sich Benutzer schützen, indem sie den PC ausschalten. (Das Bitlocker-System bleibt im Grundbetriebsmodus des TPM-Moduls anfällig, da die Festplatte beim Einschalten des PCs automatisch verbunden wird.) Der Speicherinhalt kann nach dem Trennen der Verbindung noch für kurze Zeit bestehen bleiben. Es wird daher empfohlen, Ihren Arbeitsplatzrechner noch einige Minuten lang zu überwachen. Trotz ihrer Wirksamkeit ist diese Maßnahme aufgrund der langen Ladezeit der Workstations äußerst umständlich.

Der Übergang in den Schlafmodus kann auf folgende Weise gesichert werden: Zum „Aufwecken“ der Workstation ist ein Passwort oder ein anderes Geheimnis erforderlich, und der Speicherinhalt wird mit einem aus diesem Passwort abgeleiteten Schlüssel verschlüsselt. Das Passwort muss sicher sein, da ein Angreifer einen Speicherauszug erstellen und dann versuchen kann, das Passwort mit roher Gewalt zu erraten. Wenn die Verschlüsselung des gesamten Speichers nicht möglich ist, müssen Sie nur die Bereiche verschlüsseln, die Schlüsselinformationen enthalten. Einige Systeme sind möglicherweise so konfiguriert, dass sie in diesen geschützten Ruhemodus wechseln, obwohl dies normalerweise nicht die Standardeinstellung ist.

Vorabberechnungen vermeiden

Unsere Forschung hat gezeigt, dass der Einsatz von Vorberechnungen zur Beschleunigung kryptografischer Vorgänge wichtige Informationen anfälliger macht. Durch Vorberechnungen werden redundante Informationen über Schlüsseldaten im Speicher angezeigt, sodass ein Angreifer Schlüssel auch dann wiederherstellen kann, wenn Fehler vorliegen. Wie in Abschnitt 5 beschrieben, sind beispielsweise Informationen über die iterativen Schlüssel der AES- und DES-Algorithmen äußerst redundant und für einen Angreifer nützlich.

Wenn keine Vorberechnungen durchgeführt werden, verringert sich die Leistung, da möglicherweise komplexe Berechnungen wiederholt werden müssen. Sie können aber beispielsweise vorberechnete Werte für einen bestimmten Zeitraum zwischenspeichern und die empfangenen Daten löschen, wenn sie in diesem Zeitraum nicht verwendet werden. Dieser Ansatz stellt einen Kompromiss zwischen Sicherheit und Systemleistung dar.

Schlüsselerweiterung

Eine andere Möglichkeit, die Wiederherstellung des Schlüssels zu verhindern, besteht darin, die im Speicher gespeicherten Schlüsselinformationen so zu ändern, dass die Wiederherstellung des Schlüssels aufgrund von diverse Fehler. Diese Methode wurde theoretisch diskutiert, wobei eine entdeckungsresistente Funktion gezeigt wurde, deren Eingabe verborgen bleibt, selbst wenn praktisch die gesamte Ausgabe entdeckt wurde, ähnlich wie bei der Funktionsweise von Einwegfunktionen.

Stellen Sie sich in der Praxis vor, dass wir einen 256-Bit-AES-Schlüssel K haben, der derzeit nicht verwendet wird, aber später benötigt wird. Wir können es nicht überschreiben, aber wir möchten es resistent gegen Wiederherstellungsversuche machen. Eine Möglichkeit, dies zu erreichen, besteht darin, einen großen B-Bit-Datenbereich zuzuweisen, ihn mit Zufallsdaten R zu füllen und dann das Ergebnis der folgenden Transformation K+H(R) (binäre Summierung, Anmerkung des Herausgebers) im Speicher zu speichern, wobei H ist eine Hash-Funktion wie SHA-256.

Stellen Sie sich nun vor, dass der Strom ausgeschaltet wäre. Dadurch würden sich die d-Bits in diesem Bereich ändern. Wenn die Hash-Funktion stark ist, kann der Angreifer beim Versuch, den Schlüssel K wiederherzustellen, nur damit rechnen, erraten zu können, welche Bits des Bereichs B von der etwa Hälfte, die sich hätte ändern können, geändert wurden. Wenn d Bits geändert wurden, muss der Angreifer einen Bereich der Größe (B/2+d)/d durchsuchen, um die korrekten Werte von R zu finden und dann den Schlüssel K wiederherzustellen. Wenn Bereich B groß ist, z Eine Suche kann sehr lang sein, auch wenn d relativ klein ist

Theoretisch könnten wir auf diese Weise alle Schlüssel speichern, jeden Schlüssel nur dann berechnen, wenn wir ihn benötigen, und ihn löschen, wenn wir ihn nicht benötigen. Mit der oben beschriebenen Methode können wir die Schlüssel also im Speicher speichern.

Physischer Schutz

Einige unserer Angriffe beruhten auf dem physischen Zugriff auf Speicherchips. Solche Angriffe können durch physischen Speicherschutz verhindert werden. Speichermodule befinden sich beispielsweise in einem geschlossenen PC-Gehäuse oder sind mit Epoxidkleber versiegelt, um Versuche zu verhindern, sie zu entfernen oder darauf zuzugreifen. Sie können die Speicherlöschung auch als Reaktion auf niedrige Temperaturen oder Versuche, das Gehäuse zu öffnen, implementieren. Diese Methode erfordert die Installation von Sensoren mit einem unabhängigen Stromversorgungssystem. Viele dieser Methoden erfordern manipulationssichere Hardware (z. B. den IBM 4758-Coprozessor) und können die Kosten der Workstation erheblich erhöhen. Auf der anderen Seite ist die Verwendung von Speicher verlötet Hauptplatine, wird viel weniger kosten.

Architekturwandel

Sie können die PC-Architektur ändern. Dies ist bei bereits gebrauchten PCs nicht möglich, ermöglicht Ihnen aber die Sicherung neuer PCs.

Der erste Ansatz besteht darin, DRAM-Module so zu gestalten, dass sie alle Daten schneller löschen. Dies kann schwierig sein, da das Ziel, Daten so schnell wie möglich zu löschen, im Widerspruch zu dem anderen Ziel steht, zu verhindern, dass Daten zwischen Speicheraktualisierungsperioden verloren gehen.

Ein anderer Ansatz besteht darin, wichtige Informationsspeicherhardware hinzuzufügen, die beim Starten, Neustarten und Herunterfahren garantiert alle Informationen aus ihrem Speicher löscht. Auf diese Weise verfügen wir über einen sicheren Ort zum Speichern mehrerer Schlüssel, obwohl die mit ihrer Vorberechnung verbundene Schwachstelle bestehen bleibt.

Andere Experten haben eine Architektur vorgeschlagen, bei der der Speicherinhalt dauerhaft verschlüsselt wäre. Wenn wir darüber hinaus das Löschen von Schlüsseln bei Neustart und Stromausfall implementieren, dann diese Methode bietet ausreichenden Schutz vor den von uns beschriebenen Angriffen.

Vertrauenswürdiges Computing

In einigen PCs kommt bereits Hardware zum Einsatz, die dem Konzept des „Trusted Computing“ entspricht, beispielsweise in Form von TPM-Modulen. Obwohl solche Geräte zum Schutz vor einigen Angriffen nützlich sind, tragen sie in ihrer aktuellen Form nicht dazu bei, die von uns beschriebenen Angriffe zu verhindern.

Gebraucht TPM-Module nicht umsetzen vollständige Verschlüsselung. Stattdessen beobachten sie den Bootvorgang, um zu entscheiden, ob es sicher ist, den Schlüssel in den RAM zu laden oder nicht. Wenn die Software einen Schlüssel verwenden muss, kann die folgende Technologie implementiert werden: Der Schlüssel wird in verwendbarer Form erst im RAM gespeichert, wenn der Startvorgang wie erwartet verläuft. Doch sobald sich der Schlüssel im RAM befindet, wird er sofort zum Ziel unserer Angriffe. TPMs können verhindern, dass ein Schlüssel in den Speicher geladen wird, sie verhindern jedoch nicht, dass er aus dem Speicher gelesen wird.

Schlussfolgerungen

Entgegen der landläufigen Meinung speichern DRAM-Module Daten im deaktivierten Zustand relativ lange. Unsere Experimente haben gezeigt, dass dieses Phänomen eine ganze Klasse von Angriffen ermöglicht, die trotz der Versuche des Betriebssystems, deren Inhalte zu schützen, sensible Daten, wie z. B. Verschlüsselungsschlüssel, aus dem RAM abrufen können. Die von uns beschriebenen Angriffe sind in der Praxis umsetzbar und unsere Angriffsbeispiele dazu Beliebte Systeme Verschlüsselung beweist es.

Aber auch andere Arten von Software sind anfällig. DRM-Systeme (Digital Rights Management) verwenden häufig im Speicher abgelegte symmetrische Schlüssel, die ebenfalls mit den beschriebenen Methoden abgerufen werden können. Wie wir gezeigt haben, sind auch SSL-fähige Webserver anfällig, da sie im Speicher speichern private Schlüssel erforderlich, um SSL-Sitzungen zu erstellen. Unsere Methoden zum Auffinden wichtiger Informationen sind wahrscheinlich effektiv beim Auffinden von Passwörtern, Kontonummern und anderen wichtige Informationen, im RAM gespeichert.

Sieht aus wie nein einfacher Weg Beseitigen Sie gefundene Schwachstellen. Die Softwareänderung wird höchstwahrscheinlich nicht wirksam sein; Hardwareänderungen werden helfen, aber der Zeit- und Ressourcenaufwand wird hoch sein; Trusted-Computing-Technologie in ihrer jetzigen Form ist auch deshalb unwirksam, weil sie die im Speicher befindlichen Schlüssel nicht schützen kann.

Unserer Meinung nach sind Laptops, die sich häufig an öffentlichen Orten befinden und in Modi betrieben werden, die für diese Angriffe anfällig sind, am anfälligsten für dieses Risiko. Das Vorhandensein solcher Risiken zeigt, dass die Festplattenverschlüsselung wichtige Daten weniger schützt, als allgemein angenommen wird.

Daher müssen Sie den DRAM-Speicher möglicherweise als nicht vertrauenswürdige Komponente eines modernen PCs betrachten und wichtige Verarbeitungsschritte vermeiden vertrauliche Informationen drin. Dies ist jedoch vorerst nicht praktikabel, bis sich die Architektur moderner PCs dahingehend ändert, dass Software Schlüssel an einem sicheren Ort speichern kann.