Хранит ли truecrypt незашифрованный пароль в памяти?
Мне известно, что открытый пароль используется для дешифрования заголовка, в котором хранятся все детали дешифрования для фактических данных.
Таким образом, нет никакой причины хранить действительный пароль в памяти после того, как расшифрованный заголовок скопирован туда.
Итак, мой вопрос:
- Предположим, что злоумышленник имеет доступ к вашему компьютеру, пока смонтирован том TrueCrypt.
- Предположим, у злоумышленника есть возможность сбросить память драйвера.
- Ключевые файлы не используются.
Сможет ли злоумышленник восстановить введенный вами пароль? Или он сможет восстановить только расшифрованный заголовок?
Более высокий уровень этого вопроса будет следующим: сможет ли злоумышленник взломать другие не подключенные зашифрованные тома, использующие тот же пароль, что и смонтированный?
- Не предполагайте никаких других не связанных слабостей любого рода.
Изменить: я не говорю о ключе (ключах) шифра, хранящихся в заголовке. Я говорю о пароле, который хранился и хешировался для расшифровки самого заголовка.
3 ответа
NO. однако он хранит ключ шифрования, который так же плох, если не хуже, и да, есть несколько инструментов "восстановления пароля", которые поцарапают оперативную память, ваш файл подкачки и ваш файл hiberfil.sys, чтобы найти ключ.
Кроме того, нет, я понимаю, что ваш ключ несколько рандомизирован на основе ввода пароля, так что один и тот же пароль приведет к различным ключам. см. дополнительную информацию здесь: http://www.truecrypt.org/docs/header-key-derivation
Пока громкость монтируется, ключ сидит в оперативной памяти.
С сайта TrueCrypt: незашифрованные данные в оперативной памяти.
По сути, незашифрованные мастер-ключи также должны храниться в оперативной памяти. Когда несистемный том TrueCrypt отключается, TrueCrypt стирает свои мастер-ключи (хранящиеся в ОЗУ). Когда компьютер перезагружается (или полностью выключается), все несистемные тома TrueCrypt автоматически отключаются, и, таким образом, все мастер-ключи, хранящиеся в ОЗУ, стираются драйвером TrueCrypt (кроме мастер-ключей для системных разделов / дисков - см. Ниже).).
Был знаменитый эксперимент, когда в университете кто-то входил в систему, а затем выключался, а затем замораживал память компьютера. Затем они извлекли оперативную память и прочитали ее из другой системы, поэтому атака теоретически возможна. Пароль был еще в оперативной памяти. Не могу вспомнить, было ли это специально для Трукрипта или нет, но я верю в это. Не уверен, что более поздние версии Truecrypt пытались стереть память пароля или нет. Более тревожной является возможность сделать это через привилегированный порт DMA. Если я правильно помню, порты, такие как PCMCIA и один конкретный порт Mac, имели прямой доступ DMA, так что вы могли просто подключить карту, и она могла бы высосать содержимое оперативной памяти без необходимости взаимодействия.