Това е ирелевантно. Знам че има такъв вид атаки с инсталиране на троянизиран bootloader, не помня как го наричаха "evil maid" или нещо от сорта. Там идеята е съвсем различна - и да, подписаните bootloader-и и secure boot-ването би следвало да не го позволяват. В нашият случай вземаме съдържанието на физическата памет след като е преминало в защитен режим, заредено е ядрото, въведен е passphrase-а, потребителят е правил там каквото е правил, без да се налага инсталация на каквото и да било на машината му, т.е UEFI няма отношение към проблема. Всичко е доста просто, може да го издемонстрирам на който има желание, няма никакъв rocket science в цялата работа. Това, което мен лично доста ме впечатли е колко е просто и как всеки може да го направи доволно лесно (какво остава за органите на реда примерно
).
Иначе, в момента съм се заял с LUKS по принцип, сега работя по offline атаката в hashkill. Имам работеща версия, засега само върху CPU. Мога само да кажа, че хората, които са го правили са били доста параноични, разбира се зависи от случая, но в общият случай, единствено в защитените 7zip архиви и MS Office 2013 файлове съм виждал толкова брутален key derivation. За съжаление, авторите са решили да адресират евентуалната поява на massive parallel хардуера от сорта на видеокарти и FPGA чипове просто с ненормално увеличен брой итерации, което е грешка предвид това което се е случило след това. Ако бяха подбрали някой memory-интензивен алгоритъм за key derivation от сорта на scrypt, нещата щяха да са вече наистина отчайващи.
Другият пропуск според мен е че броят на итерациите се обвързва със скоростта на машината, където е създаден keyslot-а. Т.е Ако създадем криптиран диск (или просто keyslot за него) върху бавна машина, ще можем да го атакуваме с доста по-висока скорост, отколкото ако го създадем върху бърза машина. Това е доста странно хрумване, не съм го виждал имплементирано другаде.
В тази връзка преди време бях гледал видео как от изключен компютър вадят рама от компютъра охлаждаха я и след това я сканираха наново и вадеха в случая снимка на мона лиза
Да, и това го има (само че е от включен компютър, RAM-а при стайни температури губи изцяло съдържанието си в рамките на секунди след изключване на напрежението). Обаче там нещата са one-shot, т.е имаш един опит и не успееш ли, си прецакан. Дори охладени до минус 50-60 градуса, паметта в банките дегенерира в рамките на минути и трябва спешно да се "имплантира". А "имплантирането" на рамта в друга машина е забавна задача, има доста мотики. Примерно power-on self теста на BIOS-а има навика да тества рам-та като я презаписва и препрочита и гледа за разлики. Това ако се случи с "имплантираната" памет, всичко отива по дяволите