атака cold boot на dm-crypt

Я пытался атаковать LUKS — не получилось. Дампил память msramdmp, он просто нули дампит. Думал, дело в конкретном компьютере (это не обычный домашний комп, там кастомная материнка, FPGA, в общем, много всего). Думал, что этот компьютер чистит оперативку принудительно при перезагрузке / запуске, т.к. на инициализацию BIOS уходит значительное время (>10 секунд). Перетыкали быстренько оперативку в обычный PC (где-то в 6-7 секунд укладывались) ­— все равно нули. Думаю, проблема в msramdmp.

Могу посоветовать почитать:

https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderma...

Эту статью я читал, в числе прочих статей того времени. А вот свежачка-с нет. Похоже, и правда придется провести самому эксперимент.

Вообще в таких случаях рекомендуется использовать харды или контроллеры с аппаратным шифрованием (требуют пароль при загрузке) + TRESOR. Intel AES-NI использовать не рекомендую, поскольку http://www.nsa.gov/ .
И да, в случае с ECC-оперативкой (если она не FB) тоже прокатит, если переставить её в обычный комп.

Расскажи если выйдет что.
Как раз сейчас изучаю всякие плюшки по sec'у

Что-то ты не то придумал, в хардах/контроллерах закладки появились еще раньше, чем придуман был AES-NI. Но в данном случае вопрос именно о злоумышленниках, вполне обыкновенных и не имеющих доступа к закладкам NSA.

Пока еще не добрался. Это надо выделить пару дней и всех послать, чтоб не отвлекали. Вряд ли быстрее получится проверить все варианты.

То есть в Линуксе есть закладки от NSA?

Вполне возможно. Они кучу кода внесли в свое время(SELinux).
Хотя его добрая сотня человек уже перелопатила, но вероятность изменилась, а не пропала полнотья от этого.

То есть если я пользуюсь Федорой, то скорее всего в ней закладки, Убунту же их не содержит, правильно?

Причем здесь Ubuntu?
Скорее всего они есть в ядре или еще каком софте. Проблема эта глобальная и один(или 2) человек тут ничего не сделает. Нужно исследовать код на наличие уязвимостей. Рефакторить код. Изучать алгоритмы. В общем куча человекачасов и/или денег. Надеюсь не все так плохо. Т.к. помимо SELinux есть и другие MAC'и + PaX и многое другое. Но обычный юзер ими не пользуется и нет такой утилиты которая «сделает хорошо».Нужно думать головой, а не полагаться на дядь-разрабов.
Хотя пользователи GNU/Linux и защищены в большей степени, чем пользователи win$, но из-за этого они более самоуверены в своей защищенности и самостоятельно нарушают целостность систем защиты.
А ты пользуешься каким-нибудь MAC'ом?

Перетыкали быстренько оперативку в обычный PC (где-то в 6-7 секунд укладывались) ­— все равно нули.

лолшто? В работающий комп втыкали или как?
Ну и 6-7 секунд — это многовато, имхо.

Нет, зачем, когда сервер в квм можно посадить, на десктопе юзать более защищенную венду, а СБшникам я могу сам доступ к серверам дать.

Ты «+» видел? :) Именно поэтому два варианта лучше использовать.

Нет, в выключенный, и сразу включали.

в хардах/контроллерах закладки появились еще раньше, чем придуман был AES-NI

Хорошо если закладки, а не просто XOR

Некоторые тестеры, в частности, из Heise Online, хорошо постарались, чтобы выяснить, что некоторые диски, рекламируемые как использующие AES-шифрование, используют AES для шифрования вашего пароля и обычный XOR или wwwкакую-то линейную алгебру с открыто хранящимся паролем для шифрования самого диска.

Но в данном случае вопрос именно о злоумышленниках, вполне обыкновенных

Это какие-то адово-обыкновенные злоумышленники из параллельной злой вселенной, которые ставят задачу уложиться в 10 секунд?