- Registriert
- 03.01.08
- Beiträge
- 3.831
Wer meine Paranoia thematisieren will, soll hier her gehen. In diesem Thread hätte ich gerne Meinungen zu meinem Lösungsvorschlag und falls als gut empfunden, Wege, diesen Vorschlag an Apple zu bringen.
Kurz: Es geht um das Frozen RAM-Problem, also (http://citp.princeton.edu.nyud.net/pub/coldboot.pdf)
Mein Ansatz:
Man setzt am Mac das OpenFirmware-Passwort. Dieses Passwort wird dazu benutzt, im Betrieb sämtliche Nutzerpasswörter im Speicher zu verschlüsseln. Dazu muss natürlich das OF-PWD im Speicher gehalten werden (noch besser wäre ein anderer Ort wie zB. Prozessorcache oder dgl. aber wir wollen nicht zu weit gehen).
Wenn der Rechner in S3 (sleep) geschickt wird, wird das OF-PWD aus dem Speicher gelöscht. Das geht, denn im S3 muss der Rechner ja keine Aufgaben mehr wahrnehmen (im Gegensatz zum Screensaver-Mode, zu dessem Schutz ich keine Idee habe).
Wird der Rechner wieder aufgeweckt, muss der Anwender das OF-PWD wieder eingeben, vorher kann der S3-Mode nicht beendet werden.
Der Aufwand:
Apple muss kleine Teile des OS X reprogrammieren.
Apple muss vermutlich ein EFI-Firmwareupdate ausgeben für alle Rechner.
Vorteil:
Wenige Änderungen, läuft auf bestehender Hardware (ggf. Firmware Update) und kann über ein normales Servicepack eingespielt werden. Der S3-Mode wäre dann wieder sicher. Das OF-PWD ist wegen "Attack with fire(wire)" sowieso Pflicht und die Lösung ist mehrbenutzerfähig.
Nachteil:
Apple muss das machen.
Ich habe alternativ den Autor von "sleep watcher" angeschrieben, ob er dieses Tool erweitern kann um das PWD eines bestimmten User aus dem Speicher zu werfen und vor dem Beenden von S3 vom Anwender abzufragen. Der Vorteil wäre, dass man nicht auf Apple warten müsste. Nachteil: Vielleicht geht es nicht und wenn doch dann nur für einen User.
Was haltet Ihr davon, bzgl. Machbarkeit und Usability? M.E. würde das das Frozen RAM-Problem für S3 beseitigen, wie seht Ihr das?
Und: Wie würde man das an Apple kommunizieren, ist vielleicht jemand hier, der einen guten Zugang zu Apple hat (Developer oder diese zertifizierten Apple-Trainer oder dgl.)?
Kurz: Es geht um das Frozen RAM-Problem, also (http://citp.princeton.edu.nyud.net/pub/coldboot.pdf)
Zusammengefasst: Ein Computer, der läuft oder der im S3-Modus (Standby) ist und eine transparente Verschlüsselung verwendet (wie FileVault) kann dem Anwender entzogen werden, der Speicher mit handelsüblichem Spray auf bis zu -50 Grad abgekühlt werden und danach kann ein Speichabbild gezogen werden auch wenn der Speicher vom Strom getrennt wurde. Minutenlang hält der gekühlte Speicher seine Daten praktisch fehlerfrei. Mit flüssigem Stickstoff lässt sich die Zeit erheblich dehnen.
Aus dem Speicherabbild kann dann in Ruhe jedweger Encryption-Key extrahiert werden.
Wichtig: Es ist irrelevant ob man den Zielrechner benutzen kann oder nicht, der Speicher kann ausgebaut und in einem Rechner, der schon unter der Kontrolle des Angreifers steht ausgelesen werden.
Mit diesem Passwort lassen sich nun verschlüsselte Laufwerke bzw. Containerfiles einfach öffnen.
Aus dem Speicherabbild kann dann in Ruhe jedweger Encryption-Key extrahiert werden.
Wichtig: Es ist irrelevant ob man den Zielrechner benutzen kann oder nicht, der Speicher kann ausgebaut und in einem Rechner, der schon unter der Kontrolle des Angreifers steht ausgelesen werden.
Mit diesem Passwort lassen sich nun verschlüsselte Laufwerke bzw. Containerfiles einfach öffnen.
Mein Ansatz:
Man setzt am Mac das OpenFirmware-Passwort. Dieses Passwort wird dazu benutzt, im Betrieb sämtliche Nutzerpasswörter im Speicher zu verschlüsseln. Dazu muss natürlich das OF-PWD im Speicher gehalten werden (noch besser wäre ein anderer Ort wie zB. Prozessorcache oder dgl. aber wir wollen nicht zu weit gehen).
Wenn der Rechner in S3 (sleep) geschickt wird, wird das OF-PWD aus dem Speicher gelöscht. Das geht, denn im S3 muss der Rechner ja keine Aufgaben mehr wahrnehmen (im Gegensatz zum Screensaver-Mode, zu dessem Schutz ich keine Idee habe).
Wird der Rechner wieder aufgeweckt, muss der Anwender das OF-PWD wieder eingeben, vorher kann der S3-Mode nicht beendet werden.
Der Aufwand:
Apple muss kleine Teile des OS X reprogrammieren.
Apple muss vermutlich ein EFI-Firmwareupdate ausgeben für alle Rechner.
Vorteil:
Wenige Änderungen, läuft auf bestehender Hardware (ggf. Firmware Update) und kann über ein normales Servicepack eingespielt werden. Der S3-Mode wäre dann wieder sicher. Das OF-PWD ist wegen "Attack with fire(wire)" sowieso Pflicht und die Lösung ist mehrbenutzerfähig.
Nachteil:
Apple muss das machen.
Ich habe alternativ den Autor von "sleep watcher" angeschrieben, ob er dieses Tool erweitern kann um das PWD eines bestimmten User aus dem Speicher zu werfen und vor dem Beenden von S3 vom Anwender abzufragen. Der Vorteil wäre, dass man nicht auf Apple warten müsste. Nachteil: Vielleicht geht es nicht und wenn doch dann nur für einen User.
Was haltet Ihr davon, bzgl. Machbarkeit und Usability? M.E. würde das das Frozen RAM-Problem für S3 beseitigen, wie seht Ihr das?
Und: Wie würde man das an Apple kommunizieren, ist vielleicht jemand hier, der einen guten Zugang zu Apple hat (Developer oder diese zertifizierten Apple-Trainer oder dgl.)?