Estou ciente de que a senha de texto simples é usada para descriptografar o cabeçalho, que armazena todos os detalhes de descriptografia dos dados reais.
Portanto, não há motivo para armazenar a senha real na memória depois que o cabeçalho descriptografado é copiado para lá.
Então, minha pergunta é:
O invasor poderá recuperar a senha digitada? Ou ele só poderá recuperar o cabeçalho descriptografado?
Um nível mais alto dessa questão seria: o invasor poderá comprometer outros volumes criptografados desmontados que usam a mesma senha que o montado?
Editar: Eu não estou falando sobre a (s) chave (s) de criptografia armazenada (s) dentro do cabeçalho. Estou falando da senha que fica salgada e hashed para descriptografar o próprio cabeçalho.
NÃO. no entanto, ele armazena a chave de criptografia que é tão ruim se não pior, e sim, existem várias ferramentas de "recuperação de senha" que irão copiar o ram, o seu arquivo de paginação e o seu hiberfil.sys para localizar a chave.
Além disso, não, é do meu conhecimento que sua chave é um pouco aleatória com base em sua entrada de senha, de tal forma que a mesma senha resultará em chaves diferentes. veja mais informações aqui: link
Enquanto o volume estiver montado, a tecla estará na RAM.
Do site da TrueCrypt: Dados não criptografados na RAM .
Inherently, unencrypted master keys have to be stored in RAM too. When a non-system TrueCrypt volume is dismounted, TrueCrypt erases its master keys (stored in RAM). When the computer is cleanly restarted (or cleanly shut down), all non-system TrueCrypt volumes are automatically dismounted and, thus, all master keys stored in RAM are erased by the TrueCrypt driver (except master keys for system partitions/drives — see below).
Houve um experimento famoso em que uma universidade tinha alguém fazendo login e depois desligava e depois congelava a memória do computador. Eles então removeram a RAM e a leram de outro sistema, então o ataque é teoricamente possível. A senha ainda estava na RAM. Não me lembro se isso foi para Truecrypt especificamente ou não, mas eu acredito que sim. Não tenho certeza se versões mais recentes do Truecrypt tentaram limpar a memória da senha ou não. Mais preocupante é a possibilidade de fazer isso através de uma porta privilegiada de DMA. Se bem me lembro, portas como PCMCIA e uma porta Mac em particular tinham acesso direto a DMA, então você poderia simplesmente conectar um cartão e poderia sugar o conteúdo da memória RAM sem nenhuma interação necessária.