Moin, ich denk mal hier passts am besten rein, ist ja schließlich eine Neuigkeit, wenn auch keine Gute:

ich hab grade bei The Register gelesen, dass es sehr leicht ist die Verschlüsselungssoftware FileVault des Macs und die Äquivalente von Windows und Linux zu knacken.

Der Text ist auf Englisch, deshalb eine kurze Zusammenfassung:

Der Angreifer braucht physikalischen Zugriff auf den Rechner, dazu reicht aber schon ca. eine Minute aus. Bei manchen Rechnern funktioniert der Angriff auch wenn der Rechner aus ist, aber die Autoren der Software gehen davon aus, dass er sich im Ruhezustand befindet oder eingeschaltet ist.
Dann wird die Stromversorgung gekappt und sofort wieder angeschlossen und von einem externen Laufwerk gebootet, auf dem die Entschlüsselungssoftware installiert ist.
Diese liest dann den Arbeitsspeicher aus und entschlüsselt danach den Encryptionkey.
Das ganze funktioniert deshalb, dass wenn der Arbeitsspeicher ohne Stromversorgung zwar die gespeicherten Daten verliert, dieser Vorgang findet aber nicht plötzlich statt sondern relativ langsam.
Das ganze kann auch noch entschleunigt werden, indem der RAM-Riegel vorher mit Eisspray gekühlt wird. Dann können die Daten bis über 10min nachdem der Arbeitsspeicher ohne Strom ist, noch ausgelesen werden.


Hier noch die Homepage der Autoren der Software mit einem VIdeo, welches die Sache noch etwas anschaulicher macht.

Lasst eure Rechner also nicht unbeaufsichtigt!

Mal schauen, was sich die Hersteller dazu einfallen lassen, denn dieses Problem lässt sich nicht mit einem einfachen Softwareupdate beheben.

Original von DerGraf
Würden die Schlüssel aus dem Speicher entfernt bevor der Bildschirmschoner angeht und der Rechner in den Standby wechselt gäbe es kein Problem. In den meisten Fällen muss der Benutzer ja sowieso sein Passwort eingeben um den Rechner aufzuwecken.

Das wär schonmal ein guter Ansatz. Aber welche Möglichkeit bleibt dann noch, wenn der Rechner ganz normal läuft und nur keiner davor sitzt?

Original von raymond
@gleissi42

du sagst es: es wird dann schwierig werden das Passwort innerhalb von 10 Minuten auszulesen.

Das Passwort muss ja überhaupt nicht entschlüsselt werden. Du hast ja sofort den Encyptionkey wenn du den RAM ausliest. Und selbst wenn die Verschlüsselung noch berechnet werden muss, kann das ja autonom geschehen, dh, dazu brauchst du den Rechner gar nicht mehr.

Edit: eine semi-professionelle Lösung wäre im Bios das Booten von externen Laufwerken zu verhindern und ein Bios-Passwort zu setzen. Allerdings kann das Biospasswort durch ausbauen der Bios-Batterie zurückgesetzt werden.

Eine sicherere Lösung wäre vor dem Booten einen Memorytest auszuführen. Dabei wird jede Speicherbaustein überschrieben um zu testen, ob er funktionsfähig ist. Allerdings dauert das seine Zeit und verlangsamt den Startvorgang.

Diese Option müsste allerdings auch wieder durch ein Biospasswort geschützt werden. Allerdings schlägt der Angriff fehl, wenn der Datenklauer das nicht sofort berücksichtigt und bootet ohne das Bios vorher zu überprüfen.

Wie ist es jetzt eigentlich beim Mac, hab ich im EFI des Macs auch so viele Möglichkeiten wie im Bios eines PCs zum Rumspielen? Ich hab mir das bisher noch nicht angeschaut, weil es nicht nötig war und das auch hoffentlich nie soweit kommen wird.

Original von raymond
@Zeph

Ist mir danach auch aufgefallen. Aber was kann man dagegen machen? Ich kann mir nur hardwaremäßig ne Lösung vorstellen. Warum ist der RAM nach Ausschalten noch auslesbar?
Sprich warum bleibt der Inhalt des Speichers nach Ausschalten eine gewisse Zeit noch intakt?

Das liegt daran, dass die Bits in Kondensatoren gespeichert werden. Und wenn die Stromlos sind, entladen sie sich zwar, aber nicht schlagartig sondern in Form einer e-Funktion.

Original von Internetsucht
Aber wer kann das schon nach machen? Das haben Wissenschaftler in einem Labor erreicht. Ich glaube kaum, das dies so einfach durchzuführen ist.

Wieso denn? Ein Computer verhält sich unter Laborbedingungen doch nicht anders, als im alltäglichen Leben.