it-swarm-eu.dev

Wie sicher ist FileVault 2, während sich der Computer im Ruhemodus befindet?

Wie sicher ist Apples Festplattenverschlüsselung FileVault 2, wenn jemand physischen oder Netzwerkzugriff hat, während sich der Computer im Ruhemodus befindet oder einen Bildschirmschoner ausführt? Gibt es Möglichkeiten, FileVault 2 zu umgehen, wenn der Computer nicht ausgeschaltet ist?

25
chiborg

Anscheinend ist FileVault 2 gegen einen DMA-Angriff sicher, wenn der Bildschirm seit 10.7.2 nicht entsperrt ist (stellen Sie also sicher, dass Sie Lion ausführen). Ich vermute, dass die Schlüssel im Ruhezustand mit Ihrem Passwort verschlüsselt werden und nicht nur im Speicher verbleiben.

Ich gehe davon aus, dass es auch bedeutet, dass es auch gegen einen Cold Boot Attack geschützt ist.

Die einzigen Quellen, die ich darauf finden konnte, sind diese Blog-Beitrag .

7
fin1te

Nur eine kurze Ergänzung zu den vorherigen Antworten; Wenn Sie immer noch befürchten, dass jemand Ihren Verschlüsselungsschlüssel von RAM im Standby-Modus) erhalten könnte, könnte eine Energieverwaltungsfunktion von OS X mit dem Namen "DestroyFVKeyOnStandby" aktiviert werden, wie bereits erwähnt hier) (gleicher Link wie Richard Belisle) , Seite 37.

Von man pmset:

destroyfvkeyonstandby - Destroy File Vault Key when going to standby mode. 
    By default File vault keys are retained even when system goes to standby.
    If the keys are destroyed, user will be prompted to enter the password while
    coming out of standby mode.(value: 1 - Destroy, 0 - Retain)

Der vollständige Befehl wäre Sudo pmset -a destroyfvkeyonstandby 1.

Dies würde die Zerstörung des FileVault-Schlüssels im Standby für alle -a - Energiemodi ermöglichen. Das sind USV -u, Akku -b Und Ladegerät -c (Wandstrom).

17
Xiiph

Ja, OS X ist immer noch anfällig für Cold Boot Attack , da die Verschlüsselungsschlüssel beim Einschalten des Computers gespeichert bleiben (dh, Sie geben Ihr Kennwort beim Booten ein, bis Ihr Computer vollständig eingeschaltet ist aus). Dies ist ein Problem für alle Software-Verschlüsselungstools , die nicht speziell mit FileVault 2 zusammenhängen.

Abhängig von der Version von OS X, die Sie ausführen, ist Ihr Computer möglicherweise anfällig für DMA Angriffe mit Tools wie inception . Versionen> = 10.7.2 Deaktiviert FireWire DMA, wenn der Computer gesperrt ist.

10

In älteren Versionen von Mac OS X kann sich ein Angreifer mit physischem Zugriff auf den Computer über Firewire (oder Thunderbolt) anschließen und DMA Angriffe) verwenden, um Zugriff auf den Speicher zu erhalten. Dies würde Lassen Sie den Angreifer Ihr Passwort herausschlürfen und damit den Schutz von FileVault 2 aufheben . Diese Sicherheitsanfälligkeit wurde jedoch in Mac OS X 10.7.2 behoben .

Spätere Versionen von Mac OS X haben diese Sicherheitsanfälligkeit weitgehend beseitigt. Der Angriff ist weiterhin möglich, wenn ein Benutzer angemeldet und der Computer entsperrt ist. Wenn jedoch die Bildschirmsperre aktiviert wird, aktiviert das Betriebssystem zusätzliche Schutzfunktionen, die diesen Angriff verhindern.

Verweise:

  • "OS X Lion deaktiviert DMA, wenn der Benutzer abgemeldet/der Bildschirm gesperrt ist. Angriffe funktionieren nur, wenn der Benutzer angemeldet ist oder wenn die Benutzerumschaltung aktiviert ist. Der Benutzerwechseltrick funktioniert nur für Versionen vor 10.7.2, in denen die Sicherheitsanfälligkeit behoben ist. " http://www.breaknenter.org/projects/inception/

Das Festlegen eines Firmware-Kennworts (vor dem Start) kann ebenfalls hilfreich sein .

4
D.W.

Ich habe einen Artikel mit der allgemeinen Sicherheitsanalyse von FileVault gefunden: http://eprint.iacr.org/2012/374.pdf

Es verweist auf andere Sicherheitsuntersuchungen, die meine Frage beantworten.

2
chiborg