Artikel: Passware: Entschlüsselungskit knackt Apples FileVault 2 Schutz

**Mac 2.2** · 04.02.2012, 20:27

Na dann! Ist ja alles im Lot.

Mal sehen wie lange es dann überhaupt noch zum Verkauf angeboten wird^^.

**mrains** · 05.02.2012, 12:41

Ist die Zeitachse nur lang genug, ist jeder Schutz irgendwann wirkungslos...

**bw1faeh0** · 06.02.2012, 17:35

Auf dem 28C3 wurde ein Verfahren vorgestellt, bei dem der Schlüssel zum Ver- und Entschlüsseln der Platte nicht im Ram liegt, sondern nur in den Registern der CPU abgelegt wird. Dazu wurden die Debug-Register aktueller Core-i CPUs verwendet, die den normalen Programmen nicht zur Verfügung stehen.
Das System wurde in einem Linux-Kernel implementiert. Die Eingabe des Passworts erfolgt über eine eigens geschriebene Routine, die die Tastatur abfragt und danach den Speicher im Ram bereinigt. Die Tastaturabfragen müssen ja leider einmal durch den Ram.

**SilentCry** · 07.02.2012, 13:15

Leute, das ist eine seit 2004 (!) bekannte Attacke auf ungeschützes DMA von Firewire.

Das Setzen des OpenFirmware/EFI-Passwortes erledigt das ganze. Auch das ist seit 2004 bekannt.

http://events.ccc.de/congress/2004/f...rity-paper.pdf

Also wieder mal eine "Sicherheitslücke" die nur lauwarme Luft ist.

Edit: Generell muss man sagen, dass eine DMA-Attacke (wenn erfolgreich) den ganzen Rechner kompromittiert. Auf WDos wird dem System via DMA gleich eine neue GINA ins RAM untergeschoben, die das Einloggen eines beliebigen Users ermöglicht, ein anderes Tool liest gar nicht das RAM sondern erstellt per DMA-Attacke auf WDos gleich ein Abbild der eingebauten Platte (dagegen hilft dann nicht mal hardwareverschlüsselnde Platten).
All das funktioniert am Mac nicht wenn man das EFI (vormals OpenFirmware)-Passwort gesetzt hat.

Und ob Thunderbolt anfällig für DMA-Attacken ist ist mir noch nicht bekannt. Wenn Apple schlau war bzw. Intel beim Design der Schnittstelle dann haben sie den Designfehler von Firewire nicht wiederholt. DMA muss keine Schwachstelle sein, FireWire hat da einfach ein broken by design-Issue.

Zitat von heise security

Microsoft sieht im Firewire-DMA kein Sicherheitsproblem, da es Teil der IEEE-1394-Spezifikation ist. Laut Boileau denke man deshalb in Redmond auch nicht darüber nach, dies zu verhindern.

**SilentCry** · 07.02.2012, 13:31

Zitat von bw1faeh0

Auf dem 28C3 wurde ein Verfahren vorgestellt, bei dem der Schlüssel zum Ver- und Entschlüsseln der Platte ... in den Registern der CPU abgelegt wird. Dazu wurden die Debug-Register aktueller Core-i CPUs verwendet, die den normalen Programmen nicht zur Verfügung stehen. Das System wurde in einem Linux-Kernel implementiert. ...

Tja, als ich das bereits 2008 vorschlug, hat man mich als "nicht der Hellste" bezeichnet bzw. mir zuviel Phantasie unterstellt.

Zitat von bier

RAM Verschlüsselung ist eine sehr schlechte Idee, da Du den Key irgendwo lagern musst. So, wie Du es beschreibst, im CPU Cache: absoluter Humbug. Aber he... Einstein hat man auch nachgesagt, er seie nicht der Hellste.
... So unkonkret interessieren diese Ideen... niemanden. entweder Du hast ein Konzept aus der Wirklichkeit, oder einfach zu viel Phantasie. Letzteres hat die Masse der Leute, ersteres nur wenige.

Jaja, wir Visionäre haben es eben schwer. 4 Jahre später wird meine Idee doch noch implementiert, nur leider nicht auf OS X.

**SilentCry** · 07.02.2012, 15:13

Ich habe hier dazu einen eigenen Thread eröffnet.

Thema: Artikel: Passware: Entschlüsselungskit knackt Apples FileVault 2 Schutz

Themen-Optionen

Thema durchsuchen

Berechtigungen