23 februari 2008
Een onderzoeksgroep van de Princeton University heeft een wel heel simpele methode ontwikkeld om de encryptie gebruikt voor data op harde schijven te omzeilen. Het enige dat nodig is om de versleuteling te omzeilen is een spuitbus met lucht, normaal gesproken gebruikt om stof te verwijderen. Stel een computerchip hiermee kort bloot aan koude lucht en, voila, de encryptie 'verdwijnt als sneeuw voor de zon'. De methode kan alleen worden uitgevoerd als iemand fysiek toegang heeft tot de computer. Er wordt bij de methode gebruik gemaakt van de kwetsbaarheid van het Dynamic Random Access Memory (DRAM) van de chip. In het DRAM worden gegevens tijdelijk opgeslagen en bij uitschakeling van de computer weer verwijderd. Een artikel op de website van Princeton's Center for Information Technology Policy toont echter aan dat deze gegevens enkele seconden, maar soms ook enkele minuten, na het uitschakelen van de computer, aanwezig blijven. Als de chips met DRAM vervolgens worden gekoeld met een ijzigkoude spuitbus worden de gegevens (letterlijk) bevroren. Hierdoor wordt het kinderlijk eenvoudig de encryptiesleutels te lezen uit het geheugen.
'Cool the chips in liquid nitrogen (-196 °C) and they hold their state for hours at least, without any power', zo stelt Edward D. Felten, hoogleraar computerwetenschap en 'public affairs' op Princeton University. 'Just put the chips back into a machine and you can read out their contents'. De onderzoekers gebruikten door hen ontwikkelde patroonherkenningssoftware om de encryptiesleutels de identificeren onder de miljoenen of miljarden bites op de chip. 'We think this is pretty serious to the extent people are relying on file protection', zo vervolgt felten. Felten stelt dat hij 'did not know if such an attack capability would compromise government computer information because details of how classified computer data is protected are not publicly available'. Felten is er zeker van dat het onderzoek had aangetoond dat 'so-called Trusted Computing hardware, an industry standard approach that has been heralded as significantly increasing the security of modern personal computers, does not appear to stop the potential attacks'. Een aantal beveiligingsexperts gaf aan dat de onderzoeksresultaten een indicatie zijn dat 'assertions of robust computer security should be regarded with caution'. 'This is just another example of how things aren’t quite what they seem when people tell you things are secure', zo zegt Peter Neumann, een beveiligingsexpert bij SRI International. De onderzoekers schreven dat 'they were able to compromise encrypted information stored using special utilities in the Windows, Macintosh and Linux operating systems'. 'The software world tends not to think about these issues', zegt Matt Blaze, associate professor in computer- en informatiewetenschap aan de University of Pennsylvania. 'We tend to make assumptions about the hardware. When we find out that those assumptions are wrong, we’re in trouble'. De onderzoekers begonnen hun onderzoek naar aanleiding van een referentie naar de persistentie van gegevens in geheugens in een paper van computerwetenschappers van Stanford University in 2005.