RAM-versleuteling is een van die eeuwige onderwerpen die om de paar jaar verschijnen, veel speculatie genereert en vervolgens spoorloos verdwijnt.
We lijken op dit moment in een van deze cycli te zitten. Dit is waarschijnlijk omdat, gezien de seismische verschuiving naar werken op afstand in de eerste helft van 2020, cybersec-professionals zich ineens veel meer zorgen maken over hardwarebeveiliging dan normaal. U kunt dan VPN's en versleutelde mailservers gebruiken, denkt men, maar wat als een werknemer zijn laptop achterlaat in de trein en een hacker erin slaagt al zijn wachtwoorden uit zijn RAM te halen?
Nou, hier is de realiteit: dit type aanval is uiterst zeldzaam, en het is niet meteen duidelijk dat het versleutelen van RAM dit zou voorkomen. Laten we er dieper op ingaan.
Hardware-aanvallen op RAM
In eerste instantie moeten we bepalen welke type aanval RAM-versleuteling zou kunnen omzeilen. Op het eerste gezicht lijken alle gegevens die in RAM zijn opgeslagen redelijk veilig te zijn, om twee redenen.
De eerste is dat uw besturingssysteem de machtigingen beheert voor toegang tot RAM voor programma's en blokkeert dat dezelfde programma's de inhoud van het RAM-geheugen kunnen zien die aan anderen is toegewezen. In principe betekent dit dat elk programma een hermetisch afgesloten RAM-gedeelte voor zichzelf heeft. De tweede reden is dat RAM vluchtig is en dat alle gegevens die het bevat verloren gaan nadat de voeding is uitgeschakeld.
Dit betekent dat de enige denkbare aanval die toegang zou kunnen krijgen tot gegevens die in RAM zijn opgeslagen, er een "van buitenaf" is. Dit is aangetoond in laboratoriumomstandigheden, maar is (voor zover ik weet) nog nooit in de praktijk gezien. Dit soort aanvallen zou een koude herstart inhouden van een machine die al in het bezit is van de hacker, en een extreem snel herstel van RAM-gegevens voordat deze verdwijnen.
Als dat bekend klinkt, komt dat omdat dezelfde soort techniek vaak wordt gebruikt door een bepaald type hacker: white hat forensische onderzoekers. Wanneer computers van de plaats delict hersteld worden, worden ze op precies deze manier "aangevallen" om alle versleutelde informatie te herstellen. Als de computer nog steeds actief was voordat deze herstart werd uitgevoerd en het RAM extreem snel toegankelijk was, is het mogelijk dat deze gegevens kunnen worden hersteld.
RAM beschermen met versleuteling
Dit type aanval - ook al blijft het theoretisch - baart ingenieurs voldoende zorgen om serieus de mogelijkheid van het versleutelen van RAM te onderzoeken.
Op het eerste gezicht klinkt dat misschien als een absurd idee. Dat komt omdat welke CPU dan ook versleuteld wordt, het RAM geheugenruimte nodig heeft om deze gegevens op te slaan terwijl het eraan werkt, en deze geheugenruimte zal zich bevinden in...RAM. Dus proberen om RAM te versleutelen met behulp van standaardarchitecturen is een beetje als dweilen met de kraan open.
Als gevolg hiervan moeten systemen die met versleutelde RAM draaien, exotische architecturen gebruiken. Er is bijvoorbeeld een twintig jaar oud artikel van Anderson en Kuhn waarin een Dallas DS5002FP wordt genoemd die in staat is om zijn eigen RAM te versleutelen. De Dallas DS5002F2 doet dit door vaste versleutelingsprotocollen in de CPU te gebruiken.
Er kunnen echter andere oplossingen zijn. CPU's werken immers niet rechtstreeks op RAM, maar laden er gegevens uit in caches. Het is denkbaar dat de gegevens in versleutelde vorm in een cache kunnen worden geladen, ontsleuteld worden, dat ermee gewerkt wordt en dat ze vervolgens opnieuw versleuteld worden voordat ze naar het RAM worden doorgegeven. Maar deze benadering verschuift helaas alleen het probleem naar het beschermen van caches.
Met andere woorden, het versleutelen van RAM is simpelweg technisch niet haalbaar, en dan hebben we het nog niet eens over een aantal andere problemen met het idee.
De beperkingen
Behalve dat het buitengewoon onhandig is vanuit het oogpunt van de systeemarchitectuur, zou versleutelde RAM ook een aantal nadelen hebben.
De meest voor de hand liggende hiervan is dat het heel, heel langzaam zou zijn. De doeltreffendheid van RAM wordt grotendeels beperkt door de snelheid waarmee het kan worden geschreven en gelezen, en in feite hebben de meeste vorderingen in de RAM-technologie van de afgelopen decennia geprobeerd deze snelheden te verbeteren. Als al deze gegevens elke keer moeten worden versleuteld, zou een machine met dit soort RAM waanzinnig traag worden. In de zin van dat het iemand letterlijk tot waanzin kan drijven om te proberen het te gebruiken.
Ten tweede is het niet duidelijk dat het versleutelen van RAM een goede manier is om gegevens te beschermen. Gegevens bevinden zich immers alleen in RAM, omdat ze worden gebruikt. Voor de meeste computers betekent dit dat het wordt gedeeld via een netwerk, of in ieder geval dat de hostcomputer een netwerk is. Het is onwaarschijnlijk dat een aanvaller de moeite zou nemen om de fysieke machine te stelen en vervolgens een koud bootproces zou doorlopen, wanneer dezelfde gegevens waarschijnlijk veel gemakkelijker toegankelijk zijn via een man in the middle-aanval.
Kortom
Dit wil natuurlijk niet zeggen dat RAM-versleuteling niet moet worden onderzocht in het voortdurende streven naar beveiliging. Voor industriële controlesystemen die kwetsbaar zijn voor fysieke indringing en waarin operationele snelheid geen probleem is, kan RAM-versleuteling (zo ongeveer) een haalbare oplossing zijn.
Maar als u naar dit artikel bent gekomen op zoek naar een manier om de computers van uw bedrijf te beschermen wanneer uw werknemers ze onvermijdelijk in de trein laten liggen, heb ik slecht nieuws voor u. RAM-versleuteling is niet de oplossing.
U dient er natuurlijk voor te zorgen dat de harde schijven van deze machines versleuteld zijn, en dat u over processen beschikt om te controleren of de antivirussoftware altijd up-to-date is. Zorg er ook voor dat het wachtwoord van de werknemer niet op een post-it op het toetsenbord geplakt is. Met andere woorden, de gegevens die in het RAM zijn opgeslagen, zijn het minste van uw zorgen.
Opmerking: Dit blogartikel is geschreven door een gastauteur met als doel om onze lezers een gevarieerder aanbod te geven. De standpunten die in dit artikel van de auteur worden uiteengezet, zijn uitsluitend die van de auteur en zijn niet noodzakelijk een afspiegeling van die van GlobalSign.