- Kaltstartattacke
-
Die Kaltstartattacke (englisch „cold boot attack“) bezeichnet in der Kryptologie eine Seitenkanalattacke, bei der ein Angreifer mit physischem Zugang zum Zielrechner Inhalte des Arbeitsspeichers ausliest, nachdem das System abgeschaltet wurde.
Sie basiert auf der Datenremanenz in gängigen RAM-Modulen, in denen sich Ladung unter bestimmten Bedingungen (oder schon allein durch Fertigungstoleranzen bedingt) nicht innerhalb von Millisekunden, sondern nach und nach langsam über Sekunden bis Minuten verflüchtigt und die Dateninhalte aus den Speicherzellen eventuell nach einigen Minuten noch erfolgreich vollständig ausgelesen werden können. Je nach Rechner können solche Reste nach mehreren Sekunden bis Minuten ohne Strom aufgefunden werden. Kühlung der Speichermodule verlängert die Remanenzzeit drastisch. Nach einer Behandlung der Module mit Kältespray halten sich die Inhalte viele Minuten lang.
Forschern der Princeton-Universität gelang es, direkt nach einem Kaltstart Daten noch forensisch auszulesen. Dazu wird der Zielrechner mit einem minimalen Betriebssystem kalt neugestartet. Weil dieses Mini-System nur wenig Speicher verbraucht, lässt es einen größtmöglichen Teil des Speichers unberührt, wodurch er noch genau das enthält, was vor dem Neustart im Speicher war.
Aus den ausgelesenen Daten können dann die kryptographischen Schlüssel zu verschlüsselten Daten extrahiert werden, auf die im Moment des Systemabsturzes gerade Zugriff bestand. Das könnten zum Beispiel die Schlüssel von Full-Disk-Encryption-Systemen sein.
Gegenmaßnahmen
Als Best Practice zur Minderung der Angriffschancen gilt das Überschreiben der Schlüssel beim Aushängen des Datenträgers (zum Beispiel beim Herunterfahren des Systems), womit die Daten zumindest danach sicher sind. Die Trusted Computing Group empfiehlt als Gegenmaßnahme in der „TCG Platform Reset Attack Mitigation Specification“, dass das BIOS Inhalte des Arbeitsspeichers beim power-on self-test leert, wenn ein unsauberes Beenden des Betriebssystems erkannt wurde.[1] Dies verhindert allerdings höchstens, dass ein konformer Rechner selber zum Auslesen benutzt wird.
Ein weiterer Ansatz ist, Schlüssel und ähnliches nur im Cache vorzuhalten. Dieser ist in einen Gesamtchip eingebettet, dem er nicht leicht zu entnehmen ist und welcher bei Einschalten eine Initialisierung durchläuft, die die Speicherinhalte vernichtet. Dabei muss sichergestellt werden, dass der Cache-Inhalt nicht wie üblich mit dem Hauptspeicher synchronisiert wird („no-fill“-Modus). In der Praxis bremst die Methode den Prozessor zur Unbenutzbarkeit und ist daher nur eingeschränkt nutzbar.[2][3]
Quellen
- Lest We Remember: Cold Boot Attacks on Encryption Keys (englischsprachig)
- ↑ http://www.trustedcomputinggroup.org/resources/pc_client_work_group_platform_reset_attack_mitigation_specification_version_10/
- ↑ Juergen Pabel: „FrozenCache – Mitigating cold-boot attacks for Full-Disk-Encryption software“, Mitschnitte: MP4 Video, MP3 Audio, Vorbis Audio, YouTube
- ↑ http://neuhalfen.name/2009/01/15/Frozen_Cache_Countering_Cold_Boot_attacks/
Wikimedia Foundation.
