Warum wird für maximale FileVault2-Sicherheit der Ruhezustand empfohlen?

10

In vielen Diskussionen zur FileVault 2-Sicherheit wird Folgendes empfohlen:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Einige dieser Diskussionen besagen, dass FileVault-Schlüssel während des normalen Wachbetriebs im RAM gespeichert werden, während andere sagen, dass sie in der EFI-Firmware gespeichert sind.

  1. Wo werden die Schlüssel gespeichert, während das Gerät wach ist und im RAM oder in der Firmware ausgeführt wird?

  2. Was genau macht destroyfvkeyonstandbydas? Wenn ich beispielsweise eine Datei lösche, kann ich sie wiederherstellen, da sie nicht gelöscht wird. Führt destroyfvkeyonstandbyeine Speicherfreigabe (Löschen) oder ein Löschen (Überschreiben des Speichers, der zum Halten des Schlüssels verwendet wurde) durch?

  3. destroyfvkeyonstandbyWelchen Vorteil hat es, wenn ich sofort in den Ruhezustand gehe (außer Energie zu sparen)? Welche Gefahr besteht, wenn der Schlüssel gelöscht wurde, den RAM eingeschaltet zu lassen?

mountain-lion security filevault Michael
quelle

Antworten:

3

  1. Während des normalen Gebrauchs werden die Schlüssel im RAM gespeichert, wodurch sie für einen DMA-Angriff über Firewire oder Thunderbolt (unter Verwendung von Inception ) anfällig sind . Dies ist eine alte Reihe von Angriffen, und Apple deaktiviert tatsächlich einige Funktionen dieser Geräte in einigen Ruhemodi (z. B. wird hibernatemode 25der Arbeitsspeicher nach dem Speichern des Inhalts auf die Festplatte aus dem RAM entfernt. Für zusätzliche Sicherheit sollten Sie auch Fast User deaktivieren Schalten , da es sich um einen weiteren Angriffsvektor handelt.)

  2. Dies ist das einzige, was für Apple Sinn macht, da es ziemlich trivial ist. Weitere Details könnten aus dieser Analyse von FileVault 2 mit freundlicher Genehmigung einiger Sicherheitsforscher aus Cambridge entnommen werden.

  3. RAM kann auch in (siehe Inception ) geschrieben werden, um das tatsächliche Passwort zu umgehen. Durch das Speichern auf der Festplatte und das erneute Laden beim Aufwecken wird sichergestellt, dass der Inhalt manipulationssicher ist.

Schurken
quelle
Vielen Dank für die Antwort und Links! Diese und zusätzliche Informationen deuten darauf hin, dass zusätzlich zu einem Angriff vom Typ Inception auf ein System, in dem sich noch Informationen im RAM befinden, die Passphrase, mit der der FileVault-Schlüssel entsperrt wurde, möglicherweise auch im RAM verfügbar ist. Selbst wenn man den Filevault-Schlüssel über "destroyfvkeyonstandby 1" zerstört, ist die Passphrase zum Entsperren dieses Schlüssels möglicherweise immer noch im RAM verfügbar, wenn der RAM noch mit Strom versorgt wird. Durch die Verwendung von "hibernatemode 25" und dadurch die Stromzufuhr zum RAM werden auch alle anderen Passphrasen im RAM entfernt.
Michael