Tråden om krypteringsverktyg: truecrypt, diskcryptor, bitlocker, filevault, m fl

Det är ju möjligt att sätta dit en annan knapp. Det är bara en vanlig momentan enpolig strömbrytare. Om BIOS:en på ditt moderkort tömmer minnet vid uppstart så hjälper det, annars inte.



Visst kan du göra det så svårt som möjligt för dem, men det är ju inte säkert att du hinner stänga av datorn om de överraskar dig.


Inte vad jag känner till, men jag har inte följt utvecklingen.


Om BIOS:en tömmer minnet är det bättre än att stänga av datorn. Det finns ju trådlösa fjärrkontrollers som går via radio. Få det till att momentant dra ett relä så är du i hamn (reset-knappen ska bara hållas inne en kort stund, annars befinner sig datorn i reset-läge hela tiden och minnet blir inte tömt)



Nyckeln måste ju finnas tillgängligt annars går det ju inte att läsa eller skriva till den krypterade disken. Jag läste att något program (mins ej vilket) använder debug-registren i processorn för att spara nyckeln. Förutom att det då inte går att komma åt nyckeln genom en minnesdump så töms registren vid reset eller omstart.


Varifrån har du fått för dig att minnen av typ DRAM och SRAM sparar informationen magnetiskt?

Om du nu ska förstöra datorn är det väl bättre att sätta en lagom stor sprängladdning? Det går snabbare... hoppas bara att det inte smäller av misstag.

Hur vet jag om mitt BIOS tömmer minnet vid uppsatart? Jag har ett Asus P8P67 Deluxe.
Jag försökte googla lite om Cold-Boot attacker och hur man kan skydda sig mest för kul och för att lära mig, och hittade denna pdf som verkar vara en powerpoint som vill uppmärksamma problemet med cold-boot attacker för att förhindra att hårddiskar dekrypteras den vägen.

Memory is not cleared during reboots
– Some machines zero out memory via a Power On Self Test
(POST), but it is usually disabled

Denna funktion lär ligga någonstans gömd i BIOS? Hur vet man om sitt moderkort har denna enablad eller disablad? Eller om den ens finns där?


Självklart kanske jag inte hinner stänga av datorn, men om jag har låst den med Win+L så lär de troligen få boota om datorn och då upptäcker de att den är krypterad. Jag har gjort det jag har kunnat för att skydda mina filer mot utomstående, utan hur mycket jobb som helst. Så paranoid är jag inte.


Från: http://citpsite.s3-website-us-east-1.amazonaws.com/oldsite-htdocs/pub/coldboot.pdf

We found that machines using newer memory technologies tend to exhibit a shorter time to total decay than machines using older memory technologies, but even the shorter times are long enough to facilitate most of our attack.

Det verkar som om nyare minnen gör det svårare men inte omöjligt att använda cold-boot för att hämta krypteringsnycklarna från ram-minnet.

Relevant(Från samma dokument som förra citatet): We ascribe this trend to the increasing density of the DRAM cells as the technology improves; in general, memory with higher densities have a shorter window where data is recoverable. While this trend might make DRAM retention attacks more difficult in the future, manufacturers also generally seek to increase retention times, because DRAMs with long retention require less frequent refresh and have lower power consumption.

Så det verkar som om dessa attacker kommer gå att utföra även i framtiden...


Fast det fungerar väl bara om BIOSen tömmer minnet vid uppstart?


Det känns som det vore mycket effektivare att använda processorn att lagra nyckeln, fast jag börjar redan tänja på gränserna vad mina kunskaper sträcker sig.

Hmm, vad ni krånglar till allt Varför inte bara söka i denna tråd med Flashbacks sökfunktion?

Skydd mot coldboot:
https://www.flashback.org/sp27379434
Tillägg: limmet skall vara av tvåkomponents epoxy-typ (värmetåligt) och även läggas utanpå moderkortsbatteriet (ett litet plattbatteri) om ni har en stationär dator. Skall man vara supernoga skall man även lägga epoxy utanpå CMOS/BIOS-reset jumpern som finns på de flesta stationära datorer. Gör man ovanstående går det ej att genomföra ColdBoot-attacker. På bärbara räcker det med att lägga epoxy på RAM:et, eftersom det tar för långt tid att plocka isär en bärbar.

Självklart är polisen medvetna om ramdump-attacker, ref:
https://www.flashback.org/sp22647045

Vilken tabbe att inte söka. Känns verkligen som att limma fast RAM-minnena är lite enklare än andra lösningar vi har diskuterat. Fast det hjälper väl inte om datorn är påslagen fast låst med Win+L? Om jag har datorn på fast låst med mountade diskar finns nyckeln hela tiden i RAM-minnet, därför lär väl lim inte hjälpa då polisen har "oändligt" med tid på sig att pilla bort limmet för att sedan kyla ner minnena och läsa av dem då minnet inte tappar informationen under tiden polisen försöker få bort limmet? Antar polisen alltid att diskarna är krypterade och försöker göra en coldboot attack?



Är Win+L samma sak som skärmsläckare med lösenord?

Jag har stängt av min FireWire port i BIOS, men vilka AutoRun-funktioner skulle kunna hjälpa till att spegla en mountad disk?


Jag trodde inte polisen var så avancerade, kanske var naivt, men intressant artikel none the less.

Troligtvis stödjer den inte det. Titta om du kan se någon lämplig inställning i inställningarna. Jag sökte lite men hittade inget av intresse.


Du kan ju prova att använda något av de program som finns för att dumpa minnet och se om minnet är tomt eller inte.




Det kanske räcker, men jag skulle inte satsa några pengar på att det inte finns någon bakväg att låsa upp datorn utan att veta lösenordet. Om inte annat så finns det ju möjligheten att filma dig när du skriver in lösenordet. En gång i tiden läste jag om en underrättelsetjänst som lyckades tyda vad som skrevs på skrivmaskiner (tror jag det var) genom att analysera ljudet...



Det låter logiskt. Ju tätare man packar minnescellerna desto mindre måste de vara och håller då en mindre laddning och därför tar det kortare tid för dem att laddas ur.



Japp.


Jo, om det inte går tar väldigt lång tid att skifta mellan vanligt läge och debug-läge...

Jag är inte så paranoid att jag kommer börja leta efter kameror/avlyssningsapparater i mitt eget hus. Jag anser att det kommer räcka att kryptera alla diskar genom TrueCrypt och genom att alltid låsa Windows. Det är ändå bättre än det var förut, där jag inte hade någon kryptering alls.

Montera fler än 25 volymer under Windows?

Jag har skrivit i tråden innan angående en fundering kring att på något sätt möjliggöra montering av hårddiskar i kataloger, istället för att ge dessa enhetsbeteckningar, via Truecrypt. Efter många timmars googlande och forskning kring detta ämne ser det väldigt mörkt ut på denna punkt, vilket jag (och troligtvis många med mig) tycker är lite konstigt med tanke på att det inte är några som helst att montera en okrypterad disk i en katalog. Även det faktum att Linuxversionen stöder mountpoints på detta vis gör att jag blir ännu mera fundersam.

Har börjat fundera i andra banor så som dynamiska diskar mm för att helt enkelt kunna klämma in fler än 25 enheter (A: - Z:), men av praktiska skäl är inte heller detta en lösning som håller i längden då samtliga enheter måste dekrypteras innan nya diskar kan läggas till osv. Fulhack, helt andra metoder osv är varmt välkomna men jag skulle verkligen uppskatta ett svar på denna fråga:

Är det möjligt att på något sätt mounta mer än 25 enheter via truecrypt, utan att köra någon form av raid på t ex hårddiskarna?

Tack på förhand!

Vem sa att han måste ha flashminnet i datorn hela tiden? Han kan boota/mounta och sen dra ut det. Ja, inkräktaren kan hitta keyfilen, men de kan också spöa skiten ur dig med en skiftnyckel och tvinga dig säga lösenordet

Jag har inte svaret på din fråga, men är det användarnas hemkataloger du vill kryptera (t.ex. ftp-server)? det finns nog bättre verktyg för det än TC. Fungerar inte mount points i Windows då?

http://www.techrepublic.com/blog/datacenter/use-mount-points-if-you-run-out-of-windows-drive-letters/383
http://zenmojo.com/blog/2009/08/18/share-truecrypt-volume-on-windows-with-volume-mount-point/

Vid en Cold boot attack vad för avläsningsenhet ska man använda för att läsa av RAM-minnet?
Alternativ är det via mjukvaru program som läser av RAM-minnet som man satt i en ny dator?

Det absolut enklaste är att använda datorn som minnena sitter i, och boota om datorn med ett program som dumpar innehållet i minnet till något externt minne, till exempel usb-minne. Det kräver dock att det går att välja varifrån BIOS ska boota, samt att BIOS inte tömmer minnet vid självtesten.

En mer komplicerad variant är att kyla ner minnena (vilket förlänger tiden det tar för dem att tappa information) och ta ut dem och antingen sätta in dem i en annan dator eller avläsningsenhet. Efterfrågan på sådana avläsningsenheter är inte speciellt stor så du hittar dem inte på kjell&co för 599kr. Men leta efter minnstestare så hittar du nog någon som låter dig accessa minnet. Denna verkar inte ha stöd för det med den normala firmwaren, men det är ju en i sammanhanget inte allt för komplicerad sak att åtgärda.

Det här programmet är väl bra. Jag har själv dock packat ner kanske 4 gigabyte dokument och fotografier i TrueCrypt. Sedan dess har jag aldrig kunnat återskapa dem eftersom det komplicerade lösenordet, som jag skrev ner, inte stämmer.