我知道明文密码用于解密标头,该标头存储实际数据的所有解密细节。
因此,一旦将解密的标头复制到存储器中,就没有理由将实际密码存储在内存中。
所以我的问题是:
攻击者是否能够恢复您输入的密码?或者他只能恢复解密的标题?
此问题的更高级别是:攻击者是否能够破坏使用与挂载密码相同的其他未安装的加密卷?
编辑: 我不是在谈论存储在标题内的密码密钥。我正在谈论获得盐腌和密码解密标头本身的密码。
Answers:
没有。它确实存储了密钥,但是如果不是更糟的话也是如此,并且是的,有几个“密码恢复”工具将刮擦ram,你的页面文件和你的hiberfil.sys来找到密钥。
此外,根据您的密码输入,我的理解是您的密钥有点随机化,因此相同的密码将导致不同的密钥。在这里查看更多信息: http://www.truecrypt.org/docs/header-key-derivation
只要安装了卷,那么密钥就位于RAM中。
来自TrueCrypt的网站: RAM中的未加密数据 。
本质上,未加密的主密钥也必须存储在RAM中。什么时候 卸载非系统TrueCrypt卷,TrueCrypt将其删除 主密钥(存储在RAM中)。当计算机干净地重新启动时 (或干净地关闭),所有非系统的TrueCrypt卷都是 自动卸载,因此存储在RAM中的所有主密钥都是 由TrueCrypt驱动程序擦除(系统主密钥除外) 分区/驱动器 - 见下文)。
有一个着名的实验,一个大学有人登录,然后关闭,然后冻结了计算机的记忆。然后他们删除了RAM并从另一个系统中读取它,因此理论上可以进行攻击。密码仍在RAM中。不记得这是否是针对Truecrypt的具体与否,但我相信如此。不确定更新版本的Truecrypt是否试图擦除密码的内存。更令人不安的是通过DMA特权端口执行此操作的可能性。如果我没记错的话,像PCMCIA这样的端口和一个特定的Mac端口都有直接的DMA访问权限,所以你只需插入一张卡就可以将RAM的内容吸入,而无需进行任何交互。