СОКРОВИЩЕ

TRESOR ( рекурсивная аббревиатура от «TRESOR безопасно запускает шифрование вне ОЗУ», а также немецкое слово, обозначающее « безопасный ») — это патч ядра Linux , который обеспечивает шифрование с использованием только процессора для защиты от атак «холодной загрузки» на компьютерные системы путем шифрования внутри регистров процессора. а не оперативная память (ОЗУ). Это одно из двух предложенных решений для компьютеров общего назначения. Другой, называемый «замороженный кеш», вместо этого использует кеш ЦП . ^[1] Он был разработан на основе своего предшественника AESSE , представленного на EuroSec 2010 и представленного на USENIX Security 2011. ^[2] Авторы заявляют, что это позволяет считать ОЗУ недоверенным с точки зрения безопасности, не создавая помех для системы.

Мотивация

В компьютерной безопасности распространенной проблемой безопасности данных является то, как злоумышленник может получить доступ к зашифрованным данным на компьютере. Современные алгоритмы шифрования, правильно реализованные и с надежными паролями , часто не поддаются взлому с помощью современных технологий, поэтому акцент сместился на методы, которые обходят это требование, используя аспекты безопасности данных, где шифрование можно «взломать» с гораздо меньшими усилиями, или же обошли полностью.

Атака с холодной загрузкой — один из таких способов, с помощью которого злоумышленник может обойти шифрование, несмотря на безопасность системы, если он сможет получить физический доступ к работающей машине. Он основан на физических свойствах схем устройств памяти , которые обычно используются в компьютерах. Идея заключается в том, что когда в компьютерной системе открыты зашифрованные данные, сами ключи шифрования , используемые для чтения или записи этих данных, обычно временно сохраняются в физической памяти в простой читаемой форме. (Хранения этих ключей в «простой» форме во время использования трудно или невозможно избежать в обычных системах, поскольку сама система должна иметь возможность доступа к данным по указанию авторизованного пользователя). Обычно это не приносит никакой пользы неавторизованному злоумышленнику, поскольку он не может получить доступ к этим ключам или использовать их — например, из-за безопасности, встроенной в программное обеспечение или систему. Однако если к устройствам памяти можно получить доступ за пределами работающей системы без потери содержимого, например, путем быстрой перезагрузки компьютера или удаления устройств на другое устройство, то текущее содержимое, включая любые используемые ключи шифрования, можно легко прочитать. и использовали. Это может быть важно, если систему нельзя использовать для просмотра, копирования или доступа к этим данным — например, система заблокирована или может иметь минами-ловушками или другими средствами контроля вторжения или необходимы в гарантированно нетронутой форме для судебно-медицинских или доказательных целей.

Поскольку это физическое свойство самого оборудования и основано на физических свойствах устройств памяти, его невозможно легко преодолеть с помощью чисто программных методов, поскольку все программное обеспечение, работающее в памяти, в момент вмешательства становится доступным. В результате любое программное обеспечение для шифрования, ключи которого могут быть доступны таким образом, уязвимо для таких атак. Обычно атака с холодной загрузкой включает в себя охлаждение микросхем памяти или быструю перезагрузку компьютера, а также использование того факта, что данные не теряются сразу (или не теряются, если питание восстанавливается очень быстро), и данные, которые хранились в момент вмешательства, остаются. доступны для осмотра.

Таким образом, атаки с холодной загрузкой могут быть средством несанкционированной кражи, потери или доступа к данным. Такие атаки можно свести на нет, если ключи шифрования недоступны злоумышленнику на аппаратном уровне (т. е. устройства, в которых ключи хранятся во время использования, не поддаются атакам с холодной загрузкой), но это не обычный случай.

Подход TRESOR

TRESOR — это программный подход, который пытается решить эту проблему безопасности путем хранения и управления ключами шифрования почти исключительно только на ЦП и в регистрах, доступных только на кольце 0 (самый высокий уровень привилегий), за исключением короткого периода начального расчета на начало сеанса. Это гарантирует, что ключи шифрования практически никогда не будут доступны для кода пользовательского пространства или после атаки с холодной загрузкой. TRESOR написан как патч к ядру , который хранит ключи шифрования в регистрах отладки x86 и использует «на лету» ключей генерацию , атомарность и блокировку обычных ключей. ptrace доступ к регистрам отладки в целях безопасности.

TRESOR был предвестником диссертации Тило Мюллера 2010 года, в которой анализировалась проблема атаки с холодной загрузкой. Он пришел к выводу, что современные процессоры x86 имеют две области регистров, в которых шифрование ядра на базе ЦП было реалистичным: регистры SSE , которым фактически можно было сделать привилегированные, отключив все инструкции SSE (и обязательно все программы, использующие их), и регистры отладки, которые были намного меньше, но таких проблем не было. Последнее он оставил на рассмотрение другим и разработал концепции доказательство распространения под названием Paranoix, основанное на методе регистров SSE. ^[3]

Его разработчики заявляют, что «при использовании TRESOR на 64-битном процессоре, поддерживающем AES-NI , нет снижения производительности по сравнению с общей реализацией AES ». ^[4] и работает немного быстрее, чем стандартное шифрование, несмотря на необходимость пересчета ключа, что поначалу удивило и авторов. ^[2]

Потенциальные уязвимости

В статье авторов отмечается следующее:

Хотя они не могут исключить утечку данных ЦП в ОЗУ, им не удалось обнаружить ни одного случая, когда это произошло во время формального тестирования. Ожидается, что любой такой случай можно исправить.
Root-доступ к ключам шифрования через ядро работающей системы возможен с использованием загружаемых модулей ядра или виртуальной памяти ( /dev/kmem ) и физическая память ( /dev/mem ), если он скомпилирован для их поддержки, но в остальном он недоступен каким-либо известным способом в стандартной работающей системе.
Состояния сна ACPI и низкого энергопотребления: - на реальных процессорах регистры сбрасываются в ноль во время состояний ACPI S3 (приостановка-память) и S4 (приостановка-диск), поскольку для них ЦП отключается.
Атаки при холодной загрузке процессора: - на реальных процессорах регистры обнуляются как при аппаратном, так и при программном сбросе (« Ctrl-Alt-Delete »). Однако регистры ЦП в настоящее время уязвимы на виртуальных машинах , поскольку они сбрасываются во время имитации аппаратного сброса, но не во время программного сброса. Авторы считают это очевидным недостатком во многих реализациях виртуальных машин, но отмечают, что виртуальные системы были бы по своей сути уязвимы, даже если бы это было исправлено, поскольку все регистры виртуальной машины, скорее всего, будут доступны через хост-систему.
TRESOR устойчив к атакам по времени и атакам на основе кэша благодаря конструкции инструкции AES-NI, где ЦП поддерживает расширения набора команд AES . ^[5] Процессоры, способные обрабатывать расширения AES по состоянию на 2011 год, — это Intel Westmere и Sandy Bridge (за исключением некоторых i3), а также их преемники, AMD Bulldozer и некоторые VIA PadLock . процессоры
В 2012 году статья под названием TRESOR-HUNT показала, как атака DMA может сломать эту систему путем внедрения кода, который будет незаметно функционировать на кольце 0 (самый высокий уровень привилегий), минуя «блокировку», наложенную TRESOR, что позволит ему читать ключи из регистров отладки и перенести их в обычную память. В документе также предложены способы смягчения таких атак. ^[6]

См. также

Ссылки и примечания

^ Эрик Тьюс (декабрь 2010 г.). «Разговор о криптовалюте на 27C3: FrozenCache — смягчение атак с холодной загрузкой для программного обеспечения полнодискового шифрования, день 3, 23:00, Saal 2» . 27-й Конгресс Хаос-коммуникаций .
^ Jump up to: ^а ^б Мюллер, Тило; Фрейлинг, Феликс К.; Девальд, Андреас (2011). «TRESOR безопасно выполняет шифрование вне оперативной памяти» (PDF) . Препринт .
^ Мюллер, Тило (май 2010 г.). «Реализация AES в ядре Linux, устойчивая к холодной загрузке» (PDF) . Диссертация .
^ «TRESOR безопасно выполняет шифрование вне оперативной памяти» .
^ Авторы цитируют Intel : Шей Герон, Технический документ набора инструкций Intel Advanced Encryption Standard (AES), версия 3.0: «Помимо повышения производительности, инструкции AES обеспечивают важные преимущества в безопасности. Запуская время, независимое от данных, и не используя таблицы, они помогают устранить основные атаки на основе тайминга и кэша, которые угрожают программным реализациям AES на основе таблиц».
^ Бласс, Эрик-Оливер; Робертсон, Уильям. «TRESOR-HUNT: атака на шифрование, связанное с процессором» (PDF) . АКСАК 2012 .

Внешние ссылки

Домашняя страница ТРЕСОР

[1] Эрик Тьюс (декабрь 2010 г.). «Разговор о криптовалюте на 27C3: FrozenCache — смягчение атак с холодной загрузкой для программного обеспечения полнодискового шифрования, день 3, 23:00, Saal 2» . 27-й Конгресс Хаос-коммуникаций .

[tresor-usenix-2] Jump up to: ^а ^б Мюллер, Тило; Фрейлинг, Феликс К.; Девальд, Андреас (2011). «TRESOR безопасно выполняет шифрование вне оперативной памяти» (PDF) . Препринт .

[3] Мюллер, Тило (май 2010 г.). «Реализация AES в ядре Linux, устойчивая к холодной загрузке» (PDF) . Диссертация .

[4] «TRESOR безопасно выполняет шифрование вне оперативной памяти» .

[5] Авторы цитируют Intel : Шей Герон, Технический документ набора инструкций Intel Advanced Encryption Standard (AES), версия 3.0: «Помимо повышения производительности, инструкции AES обеспечивают важные преимущества в безопасности. Запуская время, независимое от данных, и не используя таблицы, они помогают устранить основные атаки на основе тайминга и кэша, которые угрожают программным реализациям AES на основе таблиц».

[TRESORHUNT-6] Бласс, Эрик-Оливер; Робертсон, Уильям. «TRESOR-HUNT: атака на шифрование, связанное с процессором» (PDF) . АКСАК 2012 .

[1]

[2]

[3]

[4]

[5]

[6]