id: Гость   вход   регистрация
текущее время 09:24 29/03/2024
Автор темы: Гость, тема открыта 23/11/2011 09:37 Печать
Категории: криптография, инфобезопасность, политика, защита дисков
создать
просмотр
ссылки

Форенсики против FDE


Статья из New Scientist:

Full-disc encryption is too good, complain CSI teams


Full-disc encryption is good at keeping your computer secure. So good, in fact, that it's got digital CSI teams tearing their hair out.


Computer security engineers, including a member of the US Computer Emergency Response Team, are complaining in a research paper this week that crooked bankers, terrorists and child abusers may be getting away with crimes because it is proving impossible for digital investigators to unlock their encrypted hard drives. As New Scientist related in February, full-disc encryption is a major consumer security leap. It scrambles everything on a drive when you turn off your computer, time out or log out. But the flipside, of course, is consternation for some crime fighters.


The authors of the paper say they face four major problems. First, forensics don't always realise FDE is running on an evidence-carrying computer and turn it off – so all is lost. Second, when officers copy a disc for analysis not realising it is FDE-encrypted, teams waste hours of valuable crime lab time trying to make sense of gobbledegook. Third, plugging in analysis hardware can trigger a trusted-hardware-only rule to encrypt everything. Fourth, some US suspects plead the fifth amendment and refuse to give their passphrases, while others lie and give the wrong one, claiming the FDE had failed or that they must have forgotten the passphrase.


To cope with the FDE era, the US CERT-led team want improved scene-of-crime routines and better preparation of search warrants. Their conclusion is somewhat hopeless however:


"Research is needed to develop new techniques and technology for breaking or bypassing full disk encryption."


Which kind of goes against the whole point of encryption, we would suggest.


 
На страницу: 1, 2 След.
Комментарии
— Гость (24/11/2011 19:34)   <#>
Микрософт анонсировал свой локер как инструмент только для хороших парней/девчат, а вот для плохих от хороших (включая полицейских) там защиты нет. Что они имели ввиду, по всей видимости, хорошо знают форенсики.
— Гость (24/11/2011 22:26)   <#>
после загрузки системы остальные диски примонтируются автоматически
Ну примонтировали все диски, запомнили ключи, а потом пароль в оперативной памяти стёрли. Вот если бы без "при", а просто – монтируются (в произвольное после загрузки время) это было бы доказательство. Или вы это и имели ввиду?
— Гость (25/11/2011 01:09)   <#>
Да, я имел в виду это, извините за неуместное употребление совершенного вида глагола. Во избежание дальнейших недоразумений, цитата из документации:

Cache passwords in driver memory

When checked, passwords and/or processed keyfile contents for up to last four successfully mounted TrueCrypt volumes are cached. This allows mounting volumes without having to type their passwords (and selecting keyfiles) repeatedly. TrueCrypt never saves any password to a disk (however, see the chapter Security Requirements and Precautions). Password caching can be enabled/disabled in the Preferences (Settings > Preferences) and in the password prompt window. If the system partition/drive is encrypted, caching of the pre-boot authentication password can be enabled or disabled in the system encryption settings (Settings > 'System Encryption').

Такая же фигня в DiskCryptor:

Для удобства использования драйвер кеширует вводимые пароли в памяти ядра и при монтировании раздела выбирает подходящий пароль автоматически. Если подходящий пароль не обнаруживается, то программа выдаст окно ввода пароля. Пароли кешируются в неподкачиваемой памяти и не попадают в файл подкачки. Вы можете очистишь кеш паролей через пункт меню "Tools → Clear Cached Passwords", либо полностью отключить кеширование в настройках программы.

Внешние USB-диски, либо иные подключаемые тома, монтируются автоматически. Файлы программы нужны только для установки и управления зашифрованными разделами, при постоянном использовании можно обходиться без них. Зашифруйте все свои разделы одним паролем и тогда вам будет достаточно только лишь раз ввести его при загрузке.
— Гость (25/11/2011 16:12)   <#>
на том же cryptome.org есть большая презентация про fileкрим. анализ BitLocker
Опять начинаем ходить по кругу. Её же уже обсуждали: /comment37727.
— Гость (26/11/2011 00:57)   <#>

Не затруднило бы вас дать ссылку на сей анонс?

Проблема чуть более глубока, и жаль, что никто ею не заинтересовался. После работы с приватными шифрованными данными они могут оставаться в оперативной памяти (в незашифрованном виде) непонятно какое время. И всё это — несмотря на luksClose :(
— Гость (26/11/2011 13:05)   <#>
Так сколько "живут" данные в ОЗУ после выключения?! Разве больше, чем несколько секунд?!
— Следящий (26/11/2011 13:16)   профиль/связь   <#>
комментариев: 97   документов: 1   редакций: 3
Может удивитесь, но есть такое:
http://www.youtube.com/watch?v=Y_70UC0tPUU
:)
— Гость (26/11/2011 13:19)   <#>
А почему бы перед размонтированием не "вайпить" оперативную память?
— SATtva (26/11/2011 14:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А почему бы перед размонтированием не "вайпить" оперативную память?

Реализовано, например, в Tails LiveCD.
— Гость (05/03/2012 11:37)   <#>
криворукие сборщики Linux-дистров (см. дискуссию по ссылке выше) не могут сделать так, чтобы при шатдауне всё отмонтировалось и закрывалось в нужном порядке.

А что можно сказать про суспенд в Ubuntu при полнодисковом шифровании? Все мастер-ключи благополучно оседают на диске?
— unknown (05/03/2012 13:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
При правильной настройке /comment48104 (первый простой вариант должен быть в инсталляторе по дефолту), оседают но в благополучно зашифрованном виде.
— Гость (14/03/2012 04:40)   <#>
что можно сказать про суспенд в Ubuntu при полнодисковом шифровании? Все мастер-ключи благополучно оседают на диске?

Вопрос дурацкий. При суспенде ключи как раз остаются в памяти. Оседают — при хибернейте. На Ubuntu 10.04 LTS (alternate CD, в котором есть опции включения полнодискового шифрования) при использовании полнодискового шифрования суспенд отрабатывает нормально, а при хибернейте система уходит куда-то в астрал, и при последующем пробуждении загружается с нуля, с BIOS. Перестраховки ради после такого случая затёр нешифрованный /boot нулями и больше с хибернейтом не экспериментировал.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3