英特尔的vPro TME是否使锁定的屏幕更加安全？

Question

这个帖子似乎是正确的，但我没有足够的理解答案来回答这个问题。

英特尔的vPro提供了“全内存加密”(Total，TME)，它在计算机打开时对内存和系统总线数据进行加密。TME加密是否提高了屏幕锁定时计算机的安全性？也就是说，如果计算机已经实现了全磁盘加密(例如，使用Luks/dmcrypt的Debian )，启用TME的计算机(即在锁定的屏幕上)会因为内存在锁定的屏幕后面被加密而更难攻击吗？RAM加密是否提高了内存中FDE密钥的安全性？

Answer 1

在一定程度上

针对全磁盘加密计算机的一种相对常见的物理攻击是冷启动攻击，它主要是复制正在运行的计算机的内存内容，可以从中提取FDE密钥和其他秘密。冷引导攻击有两种类型：

1. 攻击者重置系统并以最少的内存占用将系统引导到另一个操作系统，并从内存中复制尽可能多的数据。
2. 攻击者冷却RAM，将其从计算机中删除，并将其插入另一个系统以分析其内容。

我减轻了这两种情况。在1的情况下，当攻击者重置并引导到另一个操作系统时，加密引擎将丢弃用于加密内存的密钥，因此攻击者将无法解密任何内容。在2的情况下，攻击者将不会拥有加密密钥，因为密钥永远不会离开加密引擎，因此他们无法解密任何东西。

然而，TME并不是对付所有身体攻击的灵丹妙药。作为您链接到的问题的答案，仍然可以将JTAG探测器附加到计算机上。基本上，JTAG是一个硬件调试器，可以连接到主板上，用来控制CPU。一旦附加，它可以停止CPU，读取或修改CPU寄存器和访问内存。这将有效地允许您绕过内存加密。然而，这并不像冷启动攻击那么容易，因为您必须购买一台价格稍高的设备，并与Intel签署NDA协议。

TL;DR: TME提高了对正在运行但被锁定的计算机进行物理攻击的门槛。它减少了冷启动攻击的风险，而冷启动攻击是针对FDE的常见攻击载体。然而，必须采取进一步步骤，防止其他代价更高的攻击。