https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=KaltstartattackeKaltstartattacke - Versionsgeschichte2026-06-09T08:34:41ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Kaltstartattacke&diff=2166439&oldid=previmported>Yoursmile: +Wikt2026-04-08T17:39:13Z<p>+Wikt</p>
<p><b>Neue Seite</b></p><div>Die '''Kaltstartattacke''' oder der '''Kaltstartangriff''' ({{enS|cold boot attack}}) bezeichnet in der [[Kryptologie]] eine [[Seitenkanalattacke]], bei der ein Angreifer mit physischem Zugang zum Zielrechner Inhalte des [[Arbeitsspeicher]]s ausliest, nachdem das System abgeschaltet wurde.<br />
<br />
Sie basiert auf der [[Datenremanenz]] in gängigen [[Arbeitsspeicher|RAM]]-Modulen, in denen sich Ladung unter bestimmten Bedingungen (oder schon allein durch Fertigungstoleranzen bedingt) nicht innerhalb von Millisekunden, sondern nach und nach langsam über Sekunden bis Minuten verflüchtigt und die Dateninhalte aus den Speicherzellen eventuell nach einigen Minuten noch erfolgreich vollständig ausgelesen werden können. Je nach Rechner können solche Reste nach mehreren Sekunden bis Minuten ohne Strom aufgefunden werden. Kühlung der Speichermodule verlängert die Remanenzzeit drastisch. Nach einer Behandlung der Module mit [[Kältespray]] halten sich die Inhalte viele Minuten lang.<br />
<br />
Bei einem im Juli 2008 auf der [[USENIX]]-Konferenz vorgestellten Angriff gelang es Forschern der [[Princeton University|Princeton-Universität]], direkt nach einem [[Reset#Kaltstart|Kaltstart]] Daten noch forensisch auszulesen.<ref>{{Internetquelle |url=http://citp.princeton.edu/memory/ |titel=Lest We Remember: Cold Boot Attacks on Encryption Keys |sprache=en |autor=J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, Edward W. Felten |hrsg=Center for Information Technology Policy at Princeton |zugriff=2012-01-10 |archiv-datum=2011-07-22 |archiv-url=https://web.archive.org/web/20110722182409/http://citp.princeton.edu/memory/ |offline=ja |archiv-bot=2025-09-26 14:53:02 InternetArchiveBot }}</ref><br />
Für den Angriff wird der Zielrechner, ohne ihn herunterzufahren, nach möglichst kurzer Stromunterbrechung mit einem minimalen Betriebssystem einem Kaltstart unterzogen. Weil dieses Mini-System nur wenig Speicher verbraucht, lässt es einen größtmöglichen Teil des Speichers unberührt. Somit können dort (aufgrund der Datenremanenz) große Teile des Speicherinhalts aus der Zeit vor dem Neustart vorgefunden werden.<br />
<br />
Aus den ausgelesenen Daten können dann die kryptographischen Schlüssel zu verschlüsselten Daten extrahiert werden, auf die im Moment des Ausschaltens gerade Zugriff bestand. Das könnten zum Beispiel die Schlüssel von [[Full Disk Encryption|Full-Disk-Encryption]]-Systemen sein.<br />
<br />
== Gegenmaßnahmen ==<br />
Als [[Best Practice]] zur Minderung der Angriffschancen gilt das Überschreiben der Schlüssel beim Aushängen des Datenträgers (zum Beispiel beim Herunterfahren des Systems), womit die Daten zumindest danach sicher sind.<br />
Die [[Trusted Computing Group]] empfiehlt als Gegenmaßnahme in der „TCG Platform Reset Attack Mitigation Specification“, dass das [[BIOS]] Inhalte des Arbeitsspeichers beim [[power-on self-test]] leert, wenn ein unsauberes Beenden des Betriebssystems erkannt wurde.<ref>{{Literatur |Hrsg=[[Trusted Computing Group]] |Titel=TCG Platform Reset Attack Mitigation Specification; Specification Version 1.00, Revision 1.00 |Datum=2008-05-15 |Sprache=en |Online=[http://www.trustedcomputinggroup.org/resources/pc_client_work_group_platform_reset_attack_mitigation_specification_version_10/ Download als PDF] |Abruf=2012-01-10}}</ref> Dies verhindert allerdings höchstens, dass ein konformer Rechner selbst zum Auslesen benutzt wird.<br />
<br />
Eine Möglichkeit, das zugrundeliegende Problem zu beheben, ist, Schlüssel und ähnliches nur im [[Cache#Prozessor-Cache|Prozessor-Cache]] vorzuhalten. Dieser ist in einem Gesamtchip eingebettet, dem er nicht leicht zu entnehmen ist und welcher bei Einschalten eine Initialisierung durchläuft, die die Speicherinhalte vernichtet. Dabei muss sichergestellt werden, dass der Cache-Inhalt nicht wie üblich mit dem Hauptspeicher synchronisiert wird („no-fill“-Modus). In der Praxis bremst die Methode den Prozessor zur Unbenutzbarkeit.<ref>{{Internetquelle |autor=Juergen Pabel |url=http://events.ccc.de/congress/2010/Fahrplan/events/4018.de.html |titel=FrozenCache: Mitigating cold-boot attacks for Full-Disk-Encryption software |sprache=en |datum=2010-12-29 |zugriff=2012-01-10 |kommentar=Mitschnitte: [http://mirror.fem-net.de/CCC/27C3/mp4-h264-HQ/27c3-4018-en-frozencache.mp4 MP4 Video], [http://mirror.fem-net.de/CCC/27C3/mp3-audio-only/27c3-4018-en-frozencache.mp3 MP3 Audio], [http://mirror.fem-net.de/CCC/27C3/ogg-audio-only/27c3-4018-en-frozencache.ogg Vorbis Audio] ([[Ogg|OGG]]; 26,8&nbsp;MB)<!-- nicht mehr verfügbar: [http://www.youtube.com/?v=_CZacpbe36Y YouTube] -->}}</ref><ref>{{Internetquelle |url=http://neuhalfen.name/2009/01/15/Frozen_Cache_Countering_Cold_Boot_attacks/ |titel=Frozen Cache: Countering Cold-Boot attacks? |werk=neuhalfen.name |sprache=en |autor=Jens Neuhalfen |datum=2009-01-15 |zugriff=2012-01-10 |archiv-url=https://web.archive.org/web/20111122090012/http://www.neuhalfen.name/2009/01/15/Frozen_Cache_Countering_Cold_Boot_attacks/ |archiv-datum=2011-11-22 |offline=ja |archiv-bot=2019-04-22 00:07:51 InternetArchiveBot }}</ref><br />
<br />
Ein weiterer Ansatz ist es, den Schlüssel ausschließlich in den [[Register (Computer)|Registern]] des Prozessors vorzuhalten. Für [[Linux]]-Betriebssysteme auf [[x86 64|x86-64-Systemen]] und [[Android (Betriebssystem)|Android]] auf [[ARM-Architektur|ARM]]-Systemen ist eine Implementierung dieses Ansatzes als Teil des [[Kernel (Betriebssystem)|Kernels]] in Form eines [[Patch (Software)|Patchs]] verfügbar. Für sonstige x86-64-Betriebssysteme (z.&nbsp;B. [[Microsoft Windows]]) kann diese Art der Registerspeicherung durch den Einsatz einer geeigneten [[Hypervisor]]-Software erreicht werden.<ref name="tresor">{{Internetquelle |url=http://www1.informatik.uni-erlangen.de/tresor |titel=TRESOR Runs Encryption Securely Outside RAM |sprache=en |hrsg=Lehrstuhl 1 für Informatik, Universität Erlangen-Nürnberg |zitat=Running TRESOR on a 64-bit CPU that supports AES-NI, there is no performance penalty compared to a generic implementation of AES and the supported key sizes are 128, 192 and 256 bits (full AES). |zugriff=2013-06-07}}</ref> Auf einem [[64-Bit-Prozessor]] mit [[AES (Befehlssatzerweiterung)|AES-Befehlssatzerweiterung]], ab [[Liste der Intel-Core-i-Prozessoren|Core-i-'Westmere'-Prozessoren]] seit 2010<ref>{{Internetquelle |url=https://software.intel.com/en-us/articles/intel-advanced-encryption-standard-aes-instructions-set |titel=Intel® Advanced Encryption Standard (AES) Instructions Set - Rev 3.01 |sprache=en |hrsg=Intel Inc. |zugriff=2014-08-02}}</ref> sind die Leistungseinbußen nach Aussage der Entwickler zu vernachlässigen.<ref name="tresor" /><ref>{{Internetquelle |autor=Tilo Müller |url=http://events.ccc.de/congress/2011/Fahrplan/events/4869.en.html |titel=TRESOR: Festplatten sicher verschlüsseln |kommentar=Mitschnitte: [http://mirror.informatik.uni-mannheim.de/pub/ccc/28C3/mp4-h264-HQ/28c3-4869-de-tresor_h264.mp4 MP4 Video], [http://mirror.informatik.uni-mannheim.de/pub/ccc/28C3/mp3-audio-only/28c3-4869-de-tresor.mp3 MP3 Audio] |datum=2011-12-29 |zugriff=2012-01-10}}</ref><br />
<br />
== Weblinks ==<br />
{{Wiktionary}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Kryptanalytisches Verfahren]]<br />
[[Kategorie:Hackertechnik (Computersicherheit)]]</div>imported>Yoursmile