Форенсики против FDE
Статья из New Scientist:
Full-disc encryption is too good, complain CSI teams
Full-disc encryption is good at keeping your computer secure. So good, in fact, that it's got digital CSI teams tearing their hair out.
Computer security engineers, including a member of the US Computer Emergency Response Team, are complaining in a research paper this week that crooked bankers, terrorists and child abusers may be getting away with crimes because it is proving impossible for digital investigators to unlock their encrypted hard drives. As New Scientist related in February, full-disc encryption is a major consumer security leap. It scrambles everything on a drive when you turn off your computer, time out or log out. But the flipside, of course, is consternation for some crime fighters.
The authors of the paper say they face four major problems. First, forensics don't always realise FDE is running on an evidence-carrying computer and turn it off – so all is lost. Second, when officers copy a disc for analysis not realising it is FDE-encrypted, teams waste hours of valuable crime lab time trying to make sense of gobbledegook. Third, plugging in analysis hardware can trigger a trusted-hardware-only rule to encrypt everything. Fourth, some US suspects plead the fifth amendment and refuse to give their passphrases, while others lie and give the wrong one, claiming the FDE had failed or that they must have forgotten the passphrase.
To cope with the FDE era, the US CERT-led team want improved scene-of-crime routines and better preparation of search warrants. Their conclusion is somewhat hopeless however:
"Research is needed to develop new techniques and technology for breaking or bypassing full disk encryption."
Which kind of goes against the whole point of encryption, we would suggest.
комментариев: 9796 документов: 488 редакций: 5664
Исходная статья форензиков в свободном доступе на Cryptome.org.
Основной вывод — частичное дисковое шифрование оставляет много косвенных следов экспертам, в то время как полное — никаких.
Основные методы борьбы с полнодисковым шифрованием — внезапный захват компьютера подозреваемого во включенном состоянии любой ценой. Рекомендуется добиваться от судей "No-Knock warrants" — "ордеров без стука", внезапного "surpise" вламывания в жилище и внезапных ночных "in the middle of the night" обысков. Обыски с тайным проникновением в жилище — "sneek-and-peek" считаются слишком трудозатратными для ФБР и предполагаются преимущественно только в делах, связанных с вопросами национальной безопасности.
Жалуются также, что в Англии малый срок за отказ раскрытия парольной фразы (5 лет — если отказ от выдачи паролей сопутствует доказанному (?) обвинению в терроризме, 2 года — в остальных случаях), а в США судебное дело (даже по обвинению в терроризме) может развалиться, если обвиняемый не упорствует в открытую, а демонстрирует сотрудничество со следствием: раскрывает якобы правильную парольную фразу, а она не подходит. Адвокаты указывают на возможность повреждения контейнера, забывчивость и суд принимает оправдательное решение.
Также указано на гипотетические судебные трудности с принуждением к раскрытию паролей в скрытых контейнерах Truecrypt. Перечислены средства шифрования под Виндовс (встроенные, коммерческие, свободно-распространяемые) и винчестеры с шифрованием на аппаратном уровне (а также модули TPM).
Среди прочих, упомянут процесс группы Чапман-Семенко в котором пароли для полнодискового шифрования были восстановлены только с фрагментов бумаги (где они были записаны) и делается утверждение о том, что без этого ключевого доказательства, которое дало доступ также к стегопрограммам на диске, процесс мог бы иметь другой результат.
А так — ничего принципиально нового в статье нет. Снятие дампов памяти через Fireware, холодная перезагрузка, переключение проводов без прерывания питания на специальный UPS для перевозки в лабораторию, кейлоггеры, трояны.
Полное шифрование диска слишком хорошо, жалуются группы криминалистов.
Полное шифрование дисков хорошо для поддержания безопасности компьютера. На самом деле настолько хорошо, что группы компьютерных криминалистов рвут на себе волосы.
Инженеры компьютерной безопасности, в том числе член американской Группы Реагирования на Компьютерные Неожиданности (CERT), жалуется в бумагах разработчика на этой неделе, что кривые банкиры, террористы и лица, злоупотребляющие ребенком могут уйти от наказания, потому что оказывается невозможным для цифровых следователей разблокировать их зашифрованные жесткие диски. Как писал New Scientist в феврале, полное дисковое шифрование есть большой шаг к безопасности потребителя. Оно шифрует всё на диске при выключении компьютера, тайм-ауте или выходе из системы. Но обратная сторона, конечно, ужас для некоторых борцов с преступлениями.
Авторы работы говорят, что они имеют перед лицом четыре основные проблемы. Во-первых, эксперты не всегда осознают, что полнодисковое шифрование работает на изымаемом как улика компьютере и выключают его – так что всё теряется. Во-вторых, когда офицеры копируют диск для анализа не понимая, что он полностью зашифрованн, группы криминалистов теряют часы драгоценного лабораторного времени пытаясь придать смысл случайным наборам байтов. В-третьих, подключение к анализу аппаратных средств может вызвать срабатывание правила "только-доверенное-железо" для шифрования всего. В-четвертых, некоторые американские подозреваемые ссылаются на пятую поправку и не дают пароль, а другие лгут и дают неправильный, утверждая, что система шифрования подвела или что они забыли, каким должен быть пароль.
Чтобы справиться с эпохой полнодискового шифрования, руководимая американской CERT группа хочет улучшенных криминалистических процедур и лучшей подготовки ордеров на обыск. Их заключение несколько безнадежны, однако: "необходимы исследования для разработки новой техники и технологии для взлома или в обхода полного шифрования диска."
Что идет вразрез со всем смыслом шифрования, намекнули бы мы.
комментариев: 1060 документов: 16 редакций: 32
комментариев: 9796 документов: 488 редакций: 5664
Кстати, там внизу стр.4 есть такое: Причём пассфраза была извлечена из оперативной памяти. Как такое возможно? Я всегда думал, что пассфраза нужна только для расшифрования мастер-ключа, т.е. сразу после получения мастер-ключа сама пассфраза безопасно уничтожается из оперативной памяти. Я ошибался?
Допустим, для простоты, что у нас есть 2 разных LUKS-тома, оба с одинаковыми пассфразами, один подмонтирован, а другой нет. Пусть противник снимает дамп с оперативной памяти и получает (мастер-ключ?) к одному из LUKS-томов. Может ли он при этом расшифровать и второй том?! Вопрос, собственно, программной реализации.
С этим вопросом связан и ещё один, такой. Допустим, что в одном из томов содержались какие-то данные, ОС с ними работала, они были в оперативной памяти и т.д. Потом все процессы от юзера, имевшего доступ к тому тому, были убиты а сам том отмонтирован. Очистились ли из оперативной памяти при этом и сами данные, или, может быть, не все? Обнуляется ли оперативная память после закрытия соответствующих процессов? А то в таком случае даже отмонтирование криптотома не поможет — только полная перезагрузка (да и та лишь ограниченно), а ещё лучше — полное обесточивание системы после работы с критичными данными. Помню, что подобное у нас уже обсуждалось, но ясности особо не прибавилось. Мне озвучивали мнение о том, что в Linux'е ядро зануляет фоново оперативную память (так ли это?), что уменьшает опасность утечек при доступе к оперативке постфактум, но насколько быстро идёт процесс стирания для реальных данных после реальной работы (поглядел документ, посмотрел фильм, послушал музыку) — не ясно.
Можно предварительно сделать копии, записав хэш, да и для ознакомления можно дать копии. Хэш должен быть подписан всеми сторонами в момент обыска. Плохо представляю как это выглядело бы на практике, но сами форенсики об этом где-то писали у себя на сайтах или в статьях.
У трукрипта есть опция "кешировать пароль в памяти". Почитайте мануал, что ли.
комментариев: 9796 документов: 488 редакций: 5664
Пассфраза вайпится, мастер-ключи (так же как и ключи слотов) для всех контейнеров по умолчанию рэндомные (независимые друг от друга) и зашифрованы пассфразой с уникальной рэндомной солью и заданным числом итераций.
Можно неумолчательным способом сделать наоборот — автоматическую расшифровку одного контейнера после открытия другого с помощью прилагающихся образцов скриптов (и даже прописать их в качестве опции в cryptab). Но этот трюк работает за счёт получения одного ключа из другого через хэши, а не через пассфразу.
Пассфраза стирается сразу же после расшифровки ключа контейнера. При корректном отрабатывании luksClose стираются из памяти и сами мастер-ключи. Но криворукие сборщики Linux-дистров (см. дискуссию по ссылке выше) не могут сделать так, чтобы при шатдауне всё отмонтировалось и закрывалось в нужном порядке. Так что мастер-ключи могут быть извлечены из памяти в процессе холодной перезагрузки.
комментариев: 9796 документов: 488 редакций: 5664
Ключ висит в памяти по-любому, пока контейнер не размонтирован и не закрыт. Иначе как всё работать будет?
Нет, именно пароль. Если зашифровано несколько дисков, включая системный, на все одинаковый пароль, и включена эта опция, то после загрузки системы остальные диски примонтируются автоматически.
кажется, тут даже сами пароли в исходном виде хранятся в памяти, да ещё и в глобальном блоке – "бери – не хочу"
"Полное шифрование диска слишком хорошо, жалуются группы криминалистов" – классный перевод, спасибо, мне понравился, переводите ещё! всё по делу и без лишнего политеса)
Кстати, на том же cryptome.org есть большая презентация про крим. анализ BitLocker. Там сначала рассказывается про то что всегда нужен пароль, потом показывается специальный блок на зашифрованном диске, в котором есть имя файла, необходимого для восстановления пароля, и вдруг на слайде №84 откуда-то вводится искомый пароль. Непонятно, откуда его взяли. Никто не читал?..