TrueCrypt: privacidade de dados descriptografados

4

O TrueCrypt afirma armazenar dados descriptografados apenas na RAM. Mas às vezes a RAM é despejada para trocar (trocar partição ou trocar arquivo). Esta é uma questão de privacidade?

    
por geek 14.10.2009 / 09:04

2 respostas

3

Você pode encontrar alguma referência interessante para o seu ponto neste artigo, A persistência da memória : identificação forense e extração de chaves criptográficas (ref de PDF)

The authors of Volatility describe a hypothetical attack against TrueCrypt (Foundation, 2008), by studying its internal structures and behavior (Walters and Nick, 2007). They do, however, not describe how to locate the different structures in memory, and neither do they discuss the fact that some of these may be paged out, thereby breaking the chain of data structures that leads to the master key if only the memory dump is available for analysis.
...
In other fields of memory analysis, analysts have dumped the memory address space of a specific process by fetching pages from RAM and swap space. The dumps are sometimes sufficient to verify4 and even completely reconstruct executable files (Kornblum, 2006). According to several articles (for example, see Schuster, 2006 and Carvey, 2007), these techniques are able to identify trojans, rootkits and viruses that are stealthy and/or armored in Windows memory dumps.

mais no papel.

    
por 14.10.2009 / 09:33
3

Pode ser um problema, mas esse não seria o único problema. Mesmo sem a troca, os aplicativos podem gravar arquivos temporários no disco, sem saber que o arquivo original foi armazenado de alguma maneira segura. Como um processador de texto, você pode salvar automaticamente seu documento de vez em quando. E talvez um player de vídeo possa converter automaticamente arquivos que não estejam usando seu formato nativo e gravar esse arquivo temporário no disco também.

Além disso, todos os programas terão (parte de) o arquivo em sua própria memória, que pode ser gravada no disco após a hibernação (suspensão).

    
por 14.10.2009 / 11:12