Pour une sécurité FileVault2 maximale, pourquoi l'hibernation est-elle recommandée?

10

De nombreuses discussions sur la sécurité de FileVault 2 suggèrent d'utiliser:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Certaines de ces discussions indiquent que les clés FileVault sont stockées dans la RAM pendant une utilisation normale de veille tandis que d'autres disent qu'elles sont stockées dans le firmware EFI.

  1. Où sont stockées les clés pendant que la machine est réveillée et fonctionne - dans la RAM ou dans le firmware?

  2. Que fait précisément destroyfvkeyonstandby? Par exemple, si je supprime un fichier, je peux le récupérer car il n'est pas effacé. destroyfvkeyonstandbyEffectue- t-il une libération de mémoire (suppression) ou un effacement (écrasement de la mémoire qui était utilisée pour maintenir la clé)?

  3. Si j'utilise destroyfvkeyonstandby, quel avantage y a-t-il à passer immédiatement en mode hibernation (autre que l'économie d'énergie)? Si la clé a été effacée, quel danger y a-t-il à laisser la RAM sous tension?

mountain-lion  security  filevault 
Michael
source

Réponses:

3

  1. Lors d'une utilisation normale, les clés sont stockées dans la RAM, ce qui les rend vulnérables à une attaque DMA sur Firewire ou Thunderbolt (en utilisant quelque chose comme Inception ). Il s'agit d'un ancien ensemble d'attaques, et Apple désactive en fait certaines des fonctionnalités de ces appareils pendant certains modes de veille (par exemple, hibernatemode 25qui supprime l'alimentation de la RAM après avoir vidé son contenu sur le disque; pour plus de sécurité, vous devez également désactiver Fast User Commutation , car c'est un autre vecteur d'attaque.)

  2. C'est la seule chose qui a du sens pour Apple, car c'est assez trivial. Plus de détails pourraient être extraits de cette analyse de FileVault 2 , gracieuseté de quelques chercheurs en sécurité de Cambridge.

  3. La RAM peut également être écrite (voir Inception ) afin de contourner le mot de passe réel; le dumping sur le disque et le rechargement au réveil garantira que le contenu est inviolable.

roguesys
source
Merci pour la réponse et les liens! Celles-ci, et des lectures supplémentaires, suggèrent qu'en plus d'une attaque de type initial sur un système où les informations sont toujours en RAM, la phrase secrète qui a déverrouillé la clé de coffre-fort peut également être disponible en RAM. Par conséquent, même si l'on détruit la clé de coffre-fort via "destroyfvkeyonstandby 1", la phrase secrète pour déverrouiller cette clé peut toujours être facilement disponible dans la RAM si la RAM est toujours alimentée. En utilisant "hibernatemode 25" et en coupant ainsi l'alimentation de la RAM, toutes les autres phrases secrètes de la RAM seront également supprimées.
Michael
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.