Hideg rendszerindítási támadás ( platform reset attack , cold reboot attack) - a kriptográfiában - a támadások olyan osztálya , amely harmadik fél csatornáin keresztül történik , amelyben a számítógéphez fizikailag hozzáférő támadó titkosítási kulcsokat vagy értékes adatokat nyerhet ki belőle. A támadáshoz a számítógép teljes újraindítása vagy leállítása és a memóriamodulok eltávolítása szükséges [1] [2] . A támadás azt a hatást használja, hogy az áramellátás kikapcsolása után DRAM-ban és SRAM RAM-ban tárolja az adatokat. Az adatok részleges tárolása másodperctől percig terjedő időtartamig [2] [3] .
A támadás végrehajtásához a számítógép hidegindítását hajtják végre, vagyis az operációs rendszer eszközeinek használata nélkül kapcsolják ki, majd kapcsolják be (például a házon lévő reset gombbal vagy kikapcsolással a tápegység). Bekapcsolás után egy speciális kis operációs rendszer töltődik be (például USB - lemezről vagy hajlékonylemezről), és a RAM aktuális állapotát fájlba menti. A támadás másik módja a memóriamodulok ( DIMM ) eltávolítása az áldozat számítógépéről, és egy másik számítógépre történő telepítése, hogy kiolvassák az adatokat. A kapott információt ezután elemzik a titkosítási kulcsok vagy más értékes információk jelenlétére. Az automatikus kereséshez speciális programok vannak [4] .
A kutatók bemutatták a támadás alkalmazhatóságát különböző gyártók lemeztitkosítási rendszereire, köztük a Trusted Platform Module (TPM) titkosítási processzort használókra is [2] .
Az adatok megőrzési ideje a memóriában növelhető a memóriamodulok hűtésével. Ezenkívül léteznek matematikai modellek az adatok kikapcsoláskori memóriából való törlésére, amelyek segítenek az adatok helyreállításában. [2] Abban az esetben, ha a lemeztitkosító rendszer lehetővé teszi az operációs rendszer indítását titkosítási jelszavak vagy PIN -kódok megadása nélkül, vagy hardveres kriptoprocesszort használnak a kulcs megszerzéséhez (például a BitLocker lehetővé teszi a TPM használatát PIN-kód megadása nélkül vagy USB token használatával), az ilyen típusú támadások végrehajtásának ideje korlátlan lehet [2] :
Megjegyzendő, hogy a BitLocker és a Trusted Platform Module együttes használata kevésbé biztonságossá teheti a rendszert, mivel lehetővé teszi, hogy a támadó akkor is hozzáférjen az adatokhoz, ha a számítógépet kikapcsolt állapotban lopták el.
Eredeti szöveg (angol)[ showelrejt] Nevezetesen, ha a BitLockert Trusted Platform Module (TPM) segítségével használja , néha kevésbé biztonságos, így a támadó akkor is hozzáférhet az adatokhoz, ha a gépet teljesen kikapcsolt állapotban ellopják.A hidegindítási támadás nem az egyetlen támadás a titkosítási kulcsok memóriából való megszerzésére, például a DMA-támadás lehetővé teszi a fizikai memória olvasását egy 1394 -es interfésszel rendelkező külső eszköz használatával . A Microsoft azt javasolja, hogy az ilyen típusú támadások megelőzése érdekében ne használja a BitLockert az alapértelmezett konfigurációban [5] .
Sok lemeztitkosítási rendszer törli a titkosítási kulcsokat a memóriából, ha a titkosított partíciókat letiltják. Ezért javasolt az összes titkosított lemez letiltása, ha fennáll a számítógép ellopásának veszélye [6] .
Az alapértelmezett konfigurációban a Bitlocker TPM-et használ bekapcsolási jelszó (boot PIN) vagy idegen kulcsok nélkül. Ebben a konfigurációban a titkosítási kulcsok minden rendszerindításkor automatikusan letöltődnek a TPM-ből, és nem igényelnek felhasználói beavatkozást. Ezért a Cold Boot támadás lehetségessé válik egy hasonló konfigurációjú számítógép ellen, amely kikapcsolt állapotban van, mivel a billentyűk minden egyes bekapcsolásakor továbbra is a RAM-ba kerülnek.
A kéttényezős hitelesítés, például a TPM mellett egy rendszerindítási PIN -kód vagy egy indítható USB-token használatával, lehetővé teszi a kikapcsolt állapotban ellopott számítógépek elleni támadások kizárását [7] [8] .
A számítógép operációs rendszert használó kikapcsolása általában törli a titkosítási kulcsokat a memóriából. Ezért ajánlatos a számítógépet teljesen kikapcsolni, ha olyan helyen hagyják, ahol ellophatják [2] [9] .