パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「コールドブート攻撃」への対策機能を無効化する手法が発見される」記事へのコメント

  • by Anonymous Coward

    > ほぼすべてのノートPC/デスクトップPC

    こういう案件で、ノートPC/デスクトップPC(ついでにブレードPCとタブレットPC)で違いがあるものだろうか?

    > この脆弱性はファームウェアの欠陥が原因で(中略)すでにMicrosoftやApple、Intelなどにこの脆弱性は報告されているとのこと。

    この中でファームウェア≒BIOSを作っているのって、Appleぐらいじゃ?
    と思ったら、最近のUEFI BIOSを管理するUnified EFI Forum(一応、AMIやPhoenixやIBMやレノボやHP=旧Compaqも参加しているらしい)は、Intelの主導下にあるらしい。

    • by Anonymous Coward

      TechCrunchの記事によれば、発見者がこう発言したそうで。

      「残念ながらMicrosoftにできることは何もない。なぜならわれわれはPCハードウェアメーカーのファームウェアの欠陥を利用しているからだ。」とSegerdahlは言う。
      「Intelのできることにも限度がある。エコシステムにおける彼らの立場は、メーカーが新しいモデルを作るためのリファレンスプラットフォームを提供することにある」

      それならなんで報告したんだ。さっさとファームウェアメーカーに報告しろよ。って思った。

      • by Anonymous Coward

        Microsoftにできること
        スリープ機能削除

        skylake+SSD機ではスリープ使ってないけど起動も速いし困ってないな

        • by Anonymous Coward on 2018年09月21日 13時55分 (#3484555)

          スマホのロックを画面OFFから何秒で掛けるべきかの話に近いような気がするなぁ…
          そもそもスリープ状態の端末が攻撃者の手に渡るって時点で物理的にはメモリ内容残ってるわけで、
          画面OFFしてロック掛かる前のスマホを攻撃者に手渡してるようなものだから完全な防御は不可能にも思える。
          最悪そのままモジュール活線挿抜だし全メモリ暗号化&耐タンパー自壊機能搭載でもしなきゃどうにもならんがアクセスコストや耐障害性で地獄になるか…

          とりま、スリープ時にもキーを消して復帰時にPinを求めるとかすれば、ストレージの暗号化鍵は保護できるんじゃね。

          「最速復帰のスリープ利用は端末防衛が可能な時間内に抑えて、他ではキーが消去・保護されるステートに落とす」
          って運用で対処するしかないし、スマホのロックと同じで利便性とのトレードオフだから最後は結局ユーザに投げる事になりそう。

          親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...