数据可以从锁定设备的RAM中提取吗？

Question

例如，您有一台带有加密驱动器的膝上型计算机，因此，如果从设备中实际删除这些驱动器，则无法从这些驱动器中提取数据。如果你关闭笔记本电脑的盖子，从而锁定它(大概是用一个强大的密码保护)，而有人偷了笔记本电脑，他们能从笔记本电脑的RAM中提取数据吗？该设备仍在运行，因此我推测，数据被锁定时保存在RAM中，并且只有在断电时才丢失。想必，当RAM在运行设备中时，必须获得对RAM的硬件访问，但我不知道这是否可能。我敢打赌，这将需要物理修改的主板，而在使用时，敲打RAM总线来读取它呢？

Answer 1

是!这方面有几种技术。

• 经典的是评论中提到的“冷启动攻击”。该机器被强制重新引导到一个在启动时不擦除内存的轻量级操作系统，并立即将所有数据从物理RAM中转储出来(通常在丢失RAM中的数据时至少需要几秒钟的时间)。
• 可以选择物理访问RAM。最常见的方法是向物理模块喷洒低温液体，因为极冷会显著增加无电源数据保留时间(可达分钟)；攻击者只需卸载RAM并将其连接到将其转储到持久存储的设备。
• 或者，如果RAM引脚暴露，攻击者可以连接一个设备，该设备即使在主板失去电源后也能保持RAM供电，然后切断机器电源并直接访问数据(这需要比其他方法更多的硬件，但即使RAM被焊接到主板上，固件被配置为不允许启动未知的操作系统)。

通常情况下，如果使用磁盘加密，则应该禁用挂起到RAM (a.k.a )。睡觉)。挂起到磁盘(hibernate)很好；系统在休眠时完全关闭，这样RAM就会很快丢失数据(操作系统甚至可以在最后一步故意删除数据)。

对此有一些缓解措施。例如，如果RAM上的数据也使用任何类型的硬件安全模块(TPM、安全飞地等)进行加密。这对功耗很敏感，您可能会阻止攻击者从RAM中获取有用的数据。如果磁盘上的数据是使用HSM加密的，那么密钥根本不需要在(物理上可访问的) RAM中。不过，通常情况下，如果设备仅被锁定(在操作系统级别)/处于休眠模式，则不应假定加密对复杂的攻击者有效。