搜尋此網誌

2008年5月9日 星期五

硬碟加密技術只不過是另外一個玩具!? - 利用記憶體資料殘存特性破解硬碟加密技術

隨著電腦使用越來越方便,越來越多人把個人重要資料存放在電腦硬碟中。前一陣子吵得沸沸揚揚的陳X希事件,就是一個個人機密資料外洩的受害案例。對個人用戶,機密資料外洩可能就是躲一陣子了事。但是對於企業用戶,事情可能就不是那麼簡單了,嚴重的話,可能連公司都不夠賠。筆記型電腦、USB隨身碟,這些產品使得這類問題更加難以管理。筆記型電腦與USB隨身碟失竊的機會相當高,連帶也使得存在其內的資料受到威脅。現在有一些較高級的商業筆記型電腦配備生物辨識系統,必須原主人才能開機,就是為了避免設備失竊而使得資料遭受濫用。如果電腦本身沒有備配生物辨識系統,一般比較簡單的做法就是採用硬碟加密(透過作業系統或3rd Party的軟體)的技術,將資料經過加密後才存在硬碟內,如此可避免其他人經由非正常管道取得原始的檔案內容。這類的產品很多,也各有不同的訴求重點,不過一個大家共有的訴求重點就是使用更安全的加密演算法。不過學過密碼學的人應該都知道,目前這些常用的演算法,其實最不安全的項目之一就是Key值。只要Key值被取得,甚麼演算法也是沒用。就像你家的門鎖裝的再高級,如果鑰匙被小偷拿到了,除非有其他的安全機制,不然就等於把全家送給小偷了。所以這些廠商應該很小心的保護這些演算法所使用的Key值嗎?嗯...答案似乎是令人失望的。

根據普林斯頓 (Princeton) 一群研究家的研究結果顯示,可以透過讀取記憶體內殘存的Key值,成功破解加密軟體。因為記憶體在斷電之後,裡面的資料並不是隨即消失,而是大約在數秒的時間內漸漸消散。如果將記憶體加以冷卻,資料保留的時間可以更長,也讓有心者有更多的時間取得存放在記憶體內的Key值。這個現象在資訊安全的領域中叫做"Data remanence",大家比較常聽到的應該是硬碟內的檔案內容在檔案刪除後依舊有可能被讀取(即使把磁軌覆寫,仍舊有可能被讀取到原始的內容)。其他包含磁帶、光碟片、磁片等許多記憶性的儲存設備都有這樣的問題。只不過記憶體內資料保留的時間相當短,所以平常較不為人所知。

發生這樣事情的原因,可能有很多個。一個比較有可能的原因是,開發軟體的人並不知道這樣的現象,畢竟資訊人員不是電腦知識的百科全書,更何況這個情況牽扯到了整個電腦執行環境安全的相關議題。另外一個原因是即使廠商知道了這個問題,可能也想不出甚麼好的解法,只好當作不知道或是祈禱在被發現前可以找到有效的解法。後者在業界應該也是蠻常發生的。其實本來就沒有一個安全機制是沒有弱點的,但是如果花了大錢的結果,卻是不堪一擊,那可是令人不勝唏噓啊。對使用者而言,不要完全信賴任何一個安全機制,或許是目前可以常保數位資料平安的不二法門。

原文出處:
Cold boot disk encryption attack is shockingly effective

沒有留言:

張貼留言

About