Cold Boot Attacken auf RAM-Bausteine

Simon Lindenlauf

Kurzfassung

Trotz vollständiger Festplattenverschlüsselung (engl. Full Disk Encryption (FDE)) ermöglichen Cold Boot Attacken - eine Angriffsmethode auf den Arbeitsspeicher, die den physikalischen Remanence-Effekt ausnutzt - den uneingeschränkten Zugriff auf den Festplatteninhalt. Der Remanence- Effekt beschreibt den Erhalt der RAM-Daten nach Trennung der Stromversorgung. Durch Ausschalten und anschließendes Neustarten eines Computers ist es möglich, einen Großteil der Daten, die sich vor dem Ausschalten im Arbeitsspeicher befanden, auszulesen. Unter diesen Daten können sich Festplattenverschlüsselungskeys oder Passwörter befinden. Diese Bachelorarbeit befasst sich mit der Anwendung sowie Untersuchungen zur Verlässlichkeit dieser Attacke und der Qualität der hierbei gewonnenen Daten. Um ein aussagekräftiges Ergebnis zu erhalten, werden 16 verschiedene RAM-Riegel untersucht.

Schlagwörter: Arbeitsspeicher, RAM-Forensik, Live Response, Festplattenverschlüsselung, Datensicherheit

Abstract

Despite full disk encryption (FDE), Cold Boot Attacks enable an unlimited access to the content of the hard disk. This is an attack on the volatile memory, which uses the remanence-effect. The remanence-effect describes a state of the RAM-data after disconnecting it from power supply. A shutdown and a following restart of the computer allows to read out the majority of data which were stored in the RAM before shutdown. Among this data may be keys of the FDE or passwords. This bachelor thesis deals with the application as well as with research to the reliability of the attack and the quality of the extracted data. In total 16 different RAM components were examined.

Keywords: volatile memory, RAM-forensic, live response, disk encryption, data integrity

x