Damaschkes Daily abonnieren (RSS 2.0)
Eine fatale Lücke in sämtlichen Festplattenverschlüsselungen
Wer sensible Daten auf einer Festplatte wirklich sicher vor dem Zugriff fremder Schnüffelnasen schützen will, der greift üblicherweise zur Festplattenverschlüsselung. Dergleichen galt bislang als narrensicher und nicht zu knacken. Doch so kann man sich täuschen: Forscher der Princeton University haben ein recht simples Verfahren entwickelt, um jede Festplattenverschlüsselung unabhängig von Programm oder Betriebssystem auszuhebeln. Man benötigt: physikalischen Zugang zum Computer, ein paar Minuten Zeit und manchmal eine Dose Druckluft.
Der gute Ruf der “Disk Encryption” beruht darauf, dass sämtliche Daten auf der Festplatte verschlüsselt gespeichert und nur während der Bearbeitung unverschlüsselt im Arbeitsspeicher gehalten werden. Der Arbeitsspeicher ist ein flüchtiger Speicher, was bedeutet, dass er beim Ausschalten seinen Inhalt verliert. Damit ist jedes Angriffsszenario vereitelt. Denn um an die sensiblen Daten zu gelangen, benötigt man Zugang zum Computer – was einem ohne das richtige Kennwort aber nicht viel nützt.
Ist der PC ausgeschaltet, bleiben die Daten auf der Festplatte verschlüsselt und sind für den Datendieb nur ein Haufen Bytemüll. Wird ein eingeschalteter PC geklaut, dann liegt der Schlüssel zwar im Arbeitsspeicher, aber hier genügt schon ein kennwortgeschützter Bildschirmschoner, um den Angreifer wirkungsvoll auszusperren. Um den Kennwortschutz zu umgehen, müsste man den PC ausschalten. Damit aber wird der Arbeitsspeicher gelöscht und man steht wieder vor einer verschlüsselten Festplatte.
Soweit nicht nur die Theorie, sondern auch die vielfach übliche Praxis, die durch die Arbeit der Forscher aus Princeton nun ernsthaft in Frage gestellt wird. Denn den Wissenschaftler gelang nicht nur der Nachweis, dass Speicherbausteine nicht, wie bislang angenommen, ihre Inhalte sofort verlieren, sondern sie entwickelten auch gleich die Werkzeuge, um eine verschlüsselte Platte zu knacken.
Das ganze Verfahren basiert auf der Entdeckung, dass RAM-Bausteine ihre Inhalte nach dem Ausschalten bis noch etliche Sekunden bis zu ein paar Minuten behalten. Für den nur wenige Minuten dauernden Angriff, den die Forscher als “Cold Boot Attack” bezeichnen, muss man ein laufendes Notebook (das sich ruhig im passwortgeschützten Sleepmode befinden kann), in die Finger bekommen.
- Im ersten Schritt baut man den Akku aus, um den Rechner auf die harte Tour runterzufahren.
- Dann schließt man eine USB-Festplatte mit einem rudimentären Boot-Programm und einer speziellen Speicherdump-Software an und schaltet den PC wieder ein.
- Der PC bootet nun vom externen Laufwerk, der immer noch vorhandene Inhalt des Arbeitsspeichers wird ausgelesen und auf der externen Platte gespeichert.
- Anschließend schaltet man den PC wieder aus.
Kommt nun der Besitzer des PCs zurück, findet er seinen Computer ausgeschaltet und wird einen Absturz oder einen Fehler vermuten, nicht aber, dass jemand den Speicher ausgelesen hat – denn das funktioniert ja bekanntlich nicht.
Die Datendiebe können nun in aller Ruhe den Speicherdump nach dem digitalen Schlüssel durchsuchen, mit dem sich im nächsten unbeobachtetem Moment die verschlüsselte Festplatte auslesen lässt.
Außerdem haben die Forscher festgestellt, dass die Speicherbausteine ihre Informationen um so länger behalten, je kälter sie sind. Mit einer handelsüblichen Dose Druckluft kann man RAM-Bausteine so weit herunterkühlen, dass man bis zu zehn Minuten Zeit hat, die Daten auszulesen. Das genügt, um einen Speicherriegel aus dem Notebook zu nehmen, in einem anderen Notebook einzubauen, die Daten auszulesen und den Speicher anschließend wieder in das erste Gerät einzubauen.
Da das Verfahren auf einer Eigenschaft der RAM-Bausteine basiert, ist es unabhängig vom Betriebssystem oder Programm und funktioniert mit Windows Vistas Bitlocker ebenso gut wie mit Apples File Vault, dm-crypt unter Linux oder Truecrypt, das in Versionen für alle drei Plattformen vorliegt.