TrueCrypt memorizza la password in chiaro in memoria?

Sono consapevole che la password in chiaro viene utilizzata per decodificare l'intestazione che memorizza tutti i dettagli di decrittografia per i dati effettivi.

Quindi non vi è alcun motivo per memorizzare la password effettiva in memoria una volta copiata l'intestazione decrittografata.

Quindi la mia domanda è:

• Supponiamo che un utente malintenzionato abbia accesso al PC mentre è montato un volume TrueCrypt.
• Supponiamo che l'autore dell'attacco abbia la possibilità di scaricare la memoria del driver.
• Non vengono utilizzati file di chiavi.

L'utente malintenzionato sarà in grado di recuperare la password inserita? O sarà solo in grado di recuperare l'intestazione decifrata?

Un livello più alto di questa domanda sarebbe: l'attaccante sarà in grado di compromettere altri volumi cifrati non montati che utilizzano la stessa password di quella montata?

• Non assumere altre debolezze non correlate di alcun tipo.

Modificare: NON sto parlando delle chiavi cifrate memorizzate nell'intestazione. Sto parlando della password che viene salata e hash per decodificare l'intestazione stessa.

NO. memorizza comunque la chiave di crittografia che è altrettanto grave se non peggiore, e sì ci sono diversi strumenti di "recupero della password" che analizzeranno ram, il tuo file di paging e il tuo hiberfil.sys per trovare la chiave.

Inoltre, non è a mia conoscenza che la tua chiave sia in qualche modo casuale in base all'input della tua password, in modo tale che la stessa password risulterà in chiavi diverse. vedere maggiori informazioni qui: http://www.truecrypt.org/docs/header-key-derivation

Finché il volume è montato, la chiave è nella RAM.

Dal sito di TrueCrypt: Dati non crittografati nella RAM .

Inheritamente, le chiavi master non crittografate devono essere memorizzate anche nella RAM. quando   un volume TrueCrypt non di sistema viene disinstallato, TrueCrypt ne cancella il suo   chiavi principali (memorizzate nella RAM). Quando il computer viene riavviato in modo pulito   (o cleanly shut down), tutti i volumi TrueCrypt non di sistema sono   automaticamente smontato e, quindi, tutte le chiavi principali memorizzate nella RAM sono   cancellato dal driver TrueCrypt (tranne le chiavi principali per il sistema   partizioni / unità - vedi sotto).

C'era un famoso esperimento in cui un'università aveva qualcuno che faceva il login e poi si spegneva e poi bloccava la memoria del computer. Quindi rimuovono la RAM e la leggono da un altro sistema, quindi l'attacco è teoricamente possibile. La password era ancora nella RAM. Non riesco a ricordare se questo fosse per Truecrypt nello specifico o no, ma io credo di sì. Non sono sicuro se le versioni più recenti di TrueCrypt hanno tentato di cancellare la memoria della password o meno. Più inquietante è la possibilità di farlo attraverso una porta privilegiata DMA. Se ricordo bene, le porte come PCMCIA e una particolare porta Mac avevano accesso diretto a DMA, quindi si poteva semplicemente inserire una scheda e poteva succhiare il contenuto della RAM senza necessità di interazione.