5

Я использую зашифрованный жесткий диск TrueCrypt на моем компьютере, где я храню все свои рабочие файлы. Обычно, когда я покидаю свой ноутбук, я просто блокирую сеанс Windows, но оставляю диск TrueCrypt подключенным.

Теперь мне интересно, если кто-то украдет мой ноутбук, когда он находится в этом состоянии (то есть диск TrueCrypt установлен, но с заблокированным сеансом), смогут ли они получить доступ к данным на моем зашифрованном жестком диске?

Некоторые уточнения:

Я понимаю, что размонтировать диск - это самый безопасный способ, но у меня часто запускается несколько процессов с него, и я не хочу закрывать все, если ухожу только на 5 минут.

Предполагая, что вор не знает мой пароль сеанса и не установил кейлоггер на моей машине (и не имеет доступа к высокотехнологичным инструментам из АНБ :), он может обойти экран входа в Windows и получить доступ к моему Данные TrueCrypt?

3 ответа3

5

Вам действительно не о чем беспокоиться, если вы являетесь обычным пользователем, и обычный вор забирает ваш ноутбук, поскольку они не будут знать, как получить ваши данные, или даже не захотят это делать. Если вас преследуют ваши данные, вор может сделать несколько вещей.

  1. Используйте порт DMA, такой как Firewire, чтобы подключить другой компьютер и сохранить ОЗУ, а затем восстановить ключи шифрования (см. Passware)
  2. Используйте что-нибудь для охлаждения оперативной памяти, а затем используйте утилиту для сохранения оперативной памяти на флэш-накопитель или извлеките ее и вставьте в другой компьютер.
  3. Возможно восстановить ключ от pagefile.sys или hiberfil.sys

Если вы хотите избежать этих атак, вам потребуется использовать полное шифрование диска truecrypt и использовать спящий режим. Для загрузки из режима гибернации потребуется пароль еще раз.

Если вы не хотите переходить в режим гибернации, вы должны отключить его powercfg -h off и установить шифрование вашего файла подкачки, запустив fsutil behavior set encryptpagingfile 1 . Файл подкачки зашифрован случайным ключом, сгенерированным при загрузке и потерянным при завершении работы.

Затем настройте компьютер на загрузку с жесткого диска и установите пароль BIOS, что помешает кому-то попытаться охладить оперативную память и использовать тот же компьютер для его восстановления. Это не помешает им сделать это, но может замедлить их настолько, что данные будут потеряны, пока они пытаются очистить CMOS.

Если у вас есть FireWire, и вы не используете его, вы должны отключить его в BIOS, чтобы избежать такого рода атак. Другой порт с DMA - это новый Thunderbolt, но его еще нет.

5

После того как диск TrueCrypt подключен, он становится «доступным», поэтому в вашей ситуации единственным барьером между диском и любым потенциальным злоумышленником является заблокированный сеанс Windows - поэтому ваши данные защищены так же, как и пароль Windows.

Если вы действительно беспокоитесь о том, что кто-то может получить доступ к вашим данным, вам следует отключать диск TrueCrypt всякий раз, когда вы оставляете машину без присмотра или когда вам не требуется доступ к ней.

1

Практический ответ - нет. Однако, если вы являетесь ценной целью, например, шпионом, решительный злоумышленник заберет ваш компьютер, а затем использует различные методы для чтения ОЗУ и определения ключей. Если вы действительно обеспокоены этим сценарием, вам всегда следует выключать компьютер, И, поскольку после отключения питания ОЗУ можно некоторое время прослушивать, вы должны наблюдать за ноутбуком в течение 5 или 10 минут после его выключения.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .