TrueCrypt memorizza la password in chiaro in memoria?


0

Sono consapevole che la password in chiaro viene utilizzata per decodificare l'intestazione che memorizza tutti i dettagli di decrittografia per i dati effettivi.

Quindi non vi è alcun motivo per memorizzare la password effettiva in memoria una volta copiata l'intestazione decrittografata.

Quindi la mia domanda è:

  • Supponiamo che un utente malintenzionato abbia accesso al PC mentre è montato un volume TrueCrypt.
  • Supponiamo che l'autore dell'attacco abbia la possibilità di scaricare la memoria del driver.
  • Non vengono utilizzati file di chiavi.

L'utente malintenzionato sarà in grado di recuperare la password inserita? O sarà solo in grado di recuperare l'intestazione decifrata?

Un livello più alto di questa domanda sarebbe: l'attaccante sarà in grado di compromettere altri volumi cifrati non montati che utilizzano la stessa password di quella montata?

  • Non assumere altre debolezze non correlate di alcun tipo.

Modificare: NON sto parlando delle chiavi cifrate memorizzate nell'intestazione. Sto parlando della password che viene salata e hash per decodificare l'intestazione stessa.

Risposte:


1

NO. memorizza comunque la chiave di crittografia che è altrettanto grave se non peggiore, e sì ci sono diversi strumenti di "recupero della password" che analizzeranno ram, il tuo file di paging e il tuo hiberfil.sys per trovare la chiave.

Inoltre, non è a mia conoscenza che la tua chiave sia in qualche modo casuale in base all'input della tua password, in modo tale che la stessa password risulterà in chiavi diverse. vedere maggiori informazioni qui: http://www.truecrypt.org/docs/header-key-derivation


La tua risposta sembra essere l'unica a rispondere alla mia domanda. Quanto sei sicuro di questo? E sì, so che i codici cifrati effettivi non hanno nulla a che fare con la tua password, sono casuali.
Alexei Mikail

Normalmente direi "sì, ne sono sicuro", ma la prima lezione di crypto è di non provare a farla da sola, perché questa roba è troppo complicata per i dilettanti (che io sono). Il loro uso di un sale casuale a 512 bit e PBKDF2 dovrebbe risultare in chiavi molto diverse, ma nessuno che conosco potrebbe confermare che al di là di un livello di conoscenza comune di sicurezza.
Frank Thomas

Visto che sto incontrando un problema correlato, puoi riferirmi a uno di questi strumenti per il recupero della password che analizzeranno la mia RAM del SO in esecuzione per trovare la chiave e / o la password?
qasdfdsaq

0

Finché il volume è montato, la chiave è nella RAM.

Dal sito di TrueCrypt: Dati non crittografati nella RAM .

Inheritamente, le chiavi master non crittografate devono essere memorizzate anche nella RAM. quando   un volume TrueCrypt non di sistema viene disinstallato, TrueCrypt ne cancella il suo   chiavi principali (memorizzate nella RAM). Quando il computer viene riavviato in modo pulito   (o cleanly shut down), tutti i volumi TrueCrypt non di sistema sono   automaticamente smontato e, quindi, tutte le chiavi principali memorizzate nella RAM sono   cancellato dal driver TrueCrypt (tranne le chiavi principali per il sistema   partizioni / unità - vedi sotto).


0

C'era un famoso esperimento in cui un'università aveva qualcuno che faceva il login e poi si spegneva e poi bloccava la memoria del computer. Quindi rimuovono la RAM e la leggono da un altro sistema, quindi l'attacco è teoricamente possibile. La password era ancora nella RAM. Non riesco a ricordare se questo fosse per Truecrypt nello specifico o no, ma io credo di sì. Non sono sicuro se le versioni più recenti di TrueCrypt hanno tentato di cancellare la memoria della password o meno. Più inquietante è la possibilità di farlo attraverso una porta privilegiata DMA. Se ricordo bene, le porte come PCMCIA e una particolare porta Mac avevano accesso diretto a DMA, quindi si poteva semplicemente inserire una scheda e poteva succhiare il contenuto della RAM senza necessità di interazione.


Non c'è bisogno di preoccuparsi di spegnerlo, basta solo sostituirlo con un UPS e scaricarlo. Memoria immagine e guida e gioca via.
Fiasco Labs

Parte dell'esperimento è stata la domanda su quanto tempo ci vuole per i bit in memoria per randomizzare una volta che il potere è stato rimosso.
Blackbeagle

Il congelamento è rischioso, lo scambio caldo è qui e ora e viene regolarmente utilizzato. George avrebbe potuto salvare il suo punteggio di Frogger senza ilarità.
Fiasco Labs
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.