TrueCrypt утверждает, что хранит расшифрованные данные только в оперативной памяти. Но иногда ОЗУ сбрасывается для обмена (раздел подкачки или файл подкачки). Это проблема конфиденциальности?
2 ответа
Вы можете найти интересную ссылку на вашу точку зрения в этой статье,
Постоянство памяти: криминалистическая идентификация и извлечение криптографических ключей (PDF ref)
Авторы Volatility описывают гипотетическую атаку на TrueCrypt (Foundation, 2008), изучая его внутренние структуры и поведение (Walters and Nick, 2007). Они, однако, не описывают, как найти различные структуры в памяти, и при этом они не обсуждают тот факт, что некоторые из них могут быть выгружены, тем самым разрывая цепочку структур данных, которая приводит к главному ключу, если только дамп памяти доступен для анализа.
...
В других областях анализа памяти аналитики сбрасывали адресное пространство памяти определенного процесса, извлекая страницы из оперативной памяти и пространства подкачки. Иногда дампов достаточно для проверки4 и даже для полной реконструкции исполняемых файлов (Kornblum, 2006). Согласно нескольким статьям (например, см. Schuster, 2006 и Carvey, 2007), эти методы способны идентифицировать трояны, руткиты и вирусы, которые скрыты и / или защищены в дампах памяти Windows.
больше в статье.
Это может быть проблемой, но это не единственная проблема. Даже без замены приложения могут записывать временные файлы на диск, не зная, что исходный файл был сохранен каким-либо безопасным способом. Как текстовый процессор может автоматически сохранять ваш документ время от времени. И, возможно, видеоплеер может автоматически конвертировать файлы, которые не используют его собственный формат, и также записывать этот временный файл на диск.
Кроме того, все программы будут иметь (часть) файл в своей собственной памяти, которая может быть записана на диск после спящего режима.