Saya sengaja menemukan makalah ini dari Chaos Communication Camp 2007 yang menjelaskan metode untuk mengekstraksi kunci kriptografi yang digunakan oleh dm-crypt atau cryptoloop.
Secara teknis, kunci kriptografi perlu berada dalam memori ketika disk terenkripsi Anda digunakan, jadi, jelas, jika penyerang memiliki akses ke RAM fisik Anda, mereka akan dapat memperoleh kunci ini dan mendekripsi volume pada setiap titik waktu mendatang. . Namun, ada beberapa takeaways yang kurang jelas.
Yang pertama adalah ada banyak jalan untuk mengakses memori mesin. Siapa pun yang dapat memperoleh akses root dapat mengakses / dev / mem dari jarak jauh, tetapi banyak sistem (terutama laptop) akan benar-benar menulis konten memori ke disk selama hibernasi yang diperpanjang. Perangkat lunak virtualisasi, seperti VMWare, akan melakukan hal yang persis sama ketika mesin virtual ditangguhkan. Akhirnya (dan ini adalah berita baru bagi saya), standar Firewire menyediakan perangkat akses DMA. Anda dapat membayangkan perangkat yang dirancang khusus untuk tujuan menghubungkan ke mesin yang sedang berjalan. Itu akan menyalin ram mesin ke hard disk kecil, LED "selesai" akan menyala, dan penyerang akan mengantonginya dan keluar dari gedung. Sistem operasi bahkan tidak akan tahu bahwa sesuatu telah terjadi.
Pengambilan besar kedua adalah relatif mudah untuk mencari kunci-kunci ini di tempat penyimpanan memori penuh. Metode ini sedikit berbeda untuk dm-crypt daripada untuk cryptoloop, tetapi pada dasarnya melibatkan pencarian pola untuk karakteristik tertentu dalam struktur data C yang memegang kunci. Ada beberapa skrip yang disertakan dalam lampiran untuk Anda yang ingin mencobanya.
Jika Anda menggunakan enkripsi disk pada laptop untuk melindungi data Anda dari pencurian saat Anda bepergian, perhatikan. Nonaktifkan mode hibernasi untuk mencegah RAM dari ditulis ke disk dan jangan biarkan mesin Anda berjalan saat tidak dijaga, bahkan jika keluar.
Pemulihan kunci kriptografis dari dump memori Linux - Tautan (pdf)