Мне известно, что пароль в незашифрованном виде используется для расшифровки заголовка, в котором хранятся все детали расшифровки для фактических данных.

Таким образом, нет никакой причины хранить действительный пароль в памяти после того, как расшифрованный заголовок скопирован туда.

Итак, мой вопрос:

  • Предположим, что злоумышленник имеет доступ к вашему компьютеру, пока подключен том TrueCrypt.
  • Предположим, у злоумышленника есть возможность сбросить память драйвера.
  • Ключевые файлы не используются.

Сможет ли злоумышленник восстановить введенный вами пароль? Или он сможет восстановить только расшифрованный заголовок?

Более высокий уровень этого вопроса будет следующим: сможет ли злоумышленник взломать другие не подключенные зашифрованные тома, использующие тот же пароль, что и смонтированный?

  • Не предполагайте никаких других не связанных слабостей любого рода.

Изменить: я не говорю о ключе (ключах) шифра, хранящихся в заголовке. Я говорю о пароле, который получает соль и хешируется для расшифровки самого заголовка.

3 ответа3

1

NO. однако он хранит ключ шифрования, который так же плох, если не хуже, и да, есть несколько инструментов "восстановления пароля", которые поцарапают оперативную память, ваш файл подкачки и ваш файл hiberfil.sys, чтобы найти ключ.

Кроме того, нет, я понимаю, что ваш ключ несколько рандомизирован на основе ввода пароля, так что один и тот же пароль приведет к получению разных ключей. см. дополнительную информацию здесь: http://www.truecrypt.org/docs/header-key-derivation

0

Пока громкость монтируется, ключ сидит в оперативной памяти.

С сайта TrueCrypt: незашифрованные данные в оперативной памяти.

По сути, незашифрованные мастер-ключи также должны храниться в оперативной памяти. При отключении несистемного тома TrueCrypt TrueCrypt стирает свои мастер-ключи (хранящиеся в ОЗУ). Когда компьютер перезагружается (или полностью выключается), все несистемные тома TrueCrypt автоматически отключаются, и, таким образом, все мастер-ключи, хранящиеся в ОЗУ, стираются драйвером TrueCrypt (кроме мастер-ключей для системных разделов / дисков - см. Ниже). ).

0

Был знаменитый эксперимент, когда в университете кто-то входил в систему, а затем выключался, а затем замораживал память компьютера. Затем они извлекли оперативную память и прочитали ее из другой системы, поэтому атака теоретически возможна. Пароль был еще в оперативной памяти. Не могу вспомнить, было ли это специально для Трукрипта или нет, но я верю в это. Не уверен, что более поздние версии Truecrypt пытались стереть память пароля или нет. Более тревожной является возможность сделать это через привилегированный порт DMA. Если я правильно помню, порты, такие как PCMCIA и один конкретный порт Mac, имели прямой доступ к DMA, так что вы могли просто подключить карту, и она могла бы высасывать содержимое оперативной памяти без необходимости взаимодействия.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .