Schlüsselmaterial aus RAM auslesen

RAM abkühlenDie kom­plet­te Ver­schlüs­se­lung der Fest­plat­te bie­tet in vie­len Fäl­len Si­cher­heit - ins­be­son­de­re, wenn der An­grei­fer ein aus­ge­schal­te­tes Sys­tem vor­fin­det. Bei einem lau­fen­den Sys­tem muß das Schlüs­sel­ma­te­ri­al für den Plat­ten­zu­griff zwangs­wei­se ir­gend­wo im RAM ste­hen - und hier er­ge­ben sich wei­te­re Mög­lich­kei­ten. Das Phä­no­men, daß Teile des RAMs einen Reset oder eine kurze Un­ter­bre­chung der Strom­ver­sor­gung über­le­ben (und damit der Schlüs­sel im RAM auf­find­bar ist), war be­reits be­kannt; jetzt haben For­scher durch Küh­len des RAMs den Zu­stand über meh­re­re Mi­nu­ten er­hal­ten kön­nen - so lange, daß man den Spei­cher sogar in einen an­de­ren Rech­ner ein­set­zen konn­te.

Für den di­rek­ten Zu­griff auf das RAM eines lau­fen­den Rech­ners gibt es ver­schie­de­ne An­sät­ze:

Auf das RAM eines lau­fen­den Sys­tems läßt sich je­doch via DMA zu­grei­fen - im De­zem­ber 2004 wurde be­reits de­mons­triert, wie via Fire­wire das RAM eines Sys­tems aus­ge­le­sen wer­den kann; an­de­re Mög­lich­kei­ten sind PCMCIA-Kar­ten oder PCI-Kar­ten auf einem hot­p­lug-fä­hi­gen PCI-Bus.

Auf dem Chaos Com­mu­ni­ca­ti­on Camp 2007 wurde vor­ge­führt, daß auch nach einem Re­boot ein Gro­ß­teil des RAMs er­hal­ten bleibt und so nach dem Schlüs­sel­ma­te­ri­al ge­sucht wer­den kann. Selbst nach dem Aus- und Ein­schal­ten des Lap­top des Re­fe­ren­ten blieb ein gro­ßer Teil der Daten im RAM les­bar.

Die­ses Phä­no­men wurde nun wei­ter un­ter­sucht: Mo­der­nes DRAM bleibt über meh­re­re Se­kun­den ohne Strom sta­bil, und durch Ab­küh­len läßt sich die Zeit auf viele Mi­nu­ten ver­län­gern - sogar so lange, daß man in Ruhe das RAM in eine an­de­ren Rech­ner(!) ein­bau­en und dort den In­halt re­stau­rie­ren konn­te.

Waren bis dato Ser­ver mit einer ver­schlüs­sel­ten Plat­te vor dem Zu­griff Drit­ter na­he­zu si­cher, muß diese An­nah­me nun end­gül­tig re­vi­diert wer­den - zu ein­fach ist die Durch­füh­rung des An­griffs: Mit Druck­luft das RAM ab­küh­len, den Rech­ner via Hard-Re­set (oder Aus- und Ein­schal­ten) neu star­ten, und an­schlie­ßend mit einem ei­ge­nen Boot­me­di­um den Spei­cher nach dem Schlüs­sel für die Fest­plat­te durch­su­chen. Das Pro­blem ist, daß es nur sehr schwer mög­lich ist, sich gegen einen sol­chen An­griff zu schüt­zen.

  • Der Schlüs­sel muß für das lau­fen­de Sys­tem in Greif­wei­te sein - ein Sprei­zen des Schlüs­sels macht den Zu­griff auf die Plat­te höchst im­per­for­mant und er­schwert die Suche le­dig­lich, kann sie aber nicht ver­hin­dern.
  • Spe­zi­el­le Hard­ware-Kryp­to­mo­du­le (wie aus dem Trusted Com­pu­ting be­kannt) könn­ten theo­re­tisch hel­fen - die Fle­xi­bi­li­tät der Soft­ware­lö­sun­gen geht je­doch damit ver­lo­ren.
  • Ein Lö­schen des RAMs durch den Ker­nel beim Her­un­ter­fah­ren oder des BIOS beim Ein­schal­ten kann durch das Küh­len und Um­bau­en um­gan­gen wer­den.

In der Tat, die Op­tio­nen sehen schlecht aus; ernst­haf­te Si­cher­heit ge­währ­leis­tet eine ver­schlüs­sel­te Fest­plat­te nur bei ab­ge­schal­te­ten Sys­te­men (kein Stand­by oder Sus­pend-to-RAM) oder phy­si­ka­li­scher Kon­trol­le über das Sys­tem; letz­te­res ist ge­währ­leis­tet, wenn der Zu­griff zum Rech­ner nicht mög­lich ist oder si­cher­ge­stellt wird, daß beim Re­boot oder dem Öff­nen des Ge­häu­ses das RAM zu­ver­läs­sig ge­löscht wird. Daß das mit dem Um­bau­en in einen an­de­ren Rech­ner funk­tio­niert, hat mich er­staunt und er­schüt­tert...

Das Phä­no­men des lang­sa­men Ver­blas­sens von DRAM-Spei­cher haben die Au­to­ren des Pa­pers (zu­sam­men mit den wei­te­ren Pro­ble­men) in einem Video schön dar­ge­stellt:

(via Slash­dot)