it-swarm.dev

Quanto è sicuro FileVault 2 mentre il computer è in modalità sospensione?

Quanto è sicura la crittografia del disco di Apple FileVault 2 quando qualcuno ha accesso fisico o di rete mentre il computer è in modalità di sospensione o esegue uno screen saver? Ci sono modi per aggirare FileVault 2 quando il computer non è spento?

25
chiborg

Apparentemente FileVault 2 è sicuro contro DMA Attack se lo schermo non è sbloccato, dal 10.7.2 (quindi assicurati di eseguire Lion). La mia ipotesi è che in modalità sleep le chiavi siano crittografate con la tua password, anziché semplicemente lasciate in memoria.

Suppongo che significhi anche che è protetto da un Cold Boot Attack .

Le uniche fonti che ho trovato su questo sono post di blog .

7
fin1te

Solo una rapida aggiunta alle risposte precedenti; se sei ancora preoccupato qualcuno potrebbe ottenere la chiave di crittografia da RAM durante lo standby, si potrebbe abilitare una funzione di risparmio energetico di OS X chiamata "DestroyFVKeyOnStandby", come menzionato qui (stesso link di Richard Belisle) , pagina 37.

A partire dal man pmset:

destroyfvkeyonstandby - Destroy File Vault Key when going to standby mode. 
    By default File vault keys are retained even when system goes to standby.
    If the keys are destroyed, user will be prompted to enter the password while
    coming out of standby mode.(value: 1 - Destroy, 0 - Retain)

Il comando completo sarebbe Sudo pmset -a destroyfvkeyonstandby 1.

Ciò consentirebbe la distruzione della chiave FileVault durante lo standby per tutti -a modalità di alimentazione. Questo è UPS -u, batteria -b e caricabatterie -c (alimentazione a parete).

17
Xiiph

Sì, OS X è ancora vulnerabile a Cold Boot Attack , perché le chiavi di crittografia vengono mantenute in memoria mentre la macchina è accesa (ovvero, da te inserisci la password all'avvio fino a quando la macchina non è completamente alimentata off). Questo è un problema per tutti gli strumenti di crittografia dell'intero disco software e non specificamente correlato a FileVault 2.

A seconda della versione di OS X in esecuzione, la macchina potrebbe essere o meno vulnerabile a DMA attacca con strumenti come inizio . Versioni> = 10.7.2 disabilita FireWire DMA quando la macchina è bloccata.

10

Nelle versioni precedenti di Mac OS X, un utente malintenzionato con accesso fisico alla macchina poteva collegarsi tramite Firewire (o Thunderbolt) e utilizzare DMA attacchi per ottenere l'accesso alla memoria. Questo avrebbe lascia che l'aggressore rubi la tua password e quindi sconfigga la protezione di FileVault 2 . Tuttavia, questa vulnerabilità era risolto in Mac OS X 10.7.2 .

Le versioni successive di Mac OS X hanno ampiamente eliminato questa vulnerabilità. L'attacco è ancora possibile se un utente è connesso e la macchina è sbloccata. Tuttavia, quando si attiva il blocco dello schermo, il sistema operativo abilita protezioni extra che impediscono questo attacco.

Riferimenti:

  • "OS X Lion disabilita DMA quando l'utente è disconnesso/lo schermo è bloccato. L'attacco funzionerà solo quando l'utente è connesso o se la commutazione utente è abilitata. Il trucco di commutazione utente funziona solo per versioni precedenti alla 10.7.2, dove la vulnerabilità è patchata. " http://www.breaknenter.org/projects/inception/

Inoltre, impostare una password del firmware (pre-avvio) può aiutare .

4
D.W.

Ho trovato un articolo con l'analisi generale della sicurezza di FileVault: http://eprint.iacr.org/2012/374.pdf

Fa riferimento ad altre ricerche sulla sicurezza che rispondono alla mia domanda.

2
chiborg