Hoe kan dit programma een onderscheid maken tussen een bestand met random data of een TrueCrypt-container? Ik kan me voorstellen dat er een signaal afgaat met "dit bestand bevat mogelijk een encrypted volume" maar dat er van de data kan worden afgeleid wat voor soort container het is lijkt me niet mogelijk.

Het onderzoeksprogramma achterhaalt met een slinkse truc het wachtwoord (of de sleutel) van de versleutelde volumes. Microsoft is zo vriendelijk om sleutels en wachtwoorden op schijf op te slaan.

Weer een extra reden om met key-files en smartcards te werken ipv alleen maar username/password voor Truecrypt!

er staat 'en encryptiesleutels van BitLocker, TrueCrypt, PGP alsmede wachtwoorden van websites', dus dat haalt dat uit het geheugen. Geen analyse over de containers. Het klinkt bijna of jij alleen op de titel reageert en niet het stukje hebt gelezen.
Deze staan in het geheugen en zowel linux als microsoft kunnen deze op de schijf opslaan indien nodig voor een hibernate bijv.

Bedankt voor je reactie. Het eerste deel van het bericht gaat over het analyseren van schrijven, het tweede deel over het uitlezen van hiberfil.sys om wachtwoorden te achterhalen. Dat laatste begrijp ik, maar het eerste deel is mij onduidelijk.

Alleen als je disk niet is encrypt lijkt me.
Ik heb hardware encryptie (Intel SSD)... success met het lezen van de hiberfil.sys.

Inderdaad voor mij ook onduidelijk. Op basis waarvan kan de Passware kit concluderen dat het bv. een TrueCrypt formaat betreft?

Anyone?

"NOTE: If the target computer is turned off and the encrypted volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assignsbrute-force attacks to recover the original password for the volume."

Trek je conclusions. In ieder geval uit, geen hibernate met open volumes en sterke wachtwoorden of beter een wachtzin van 6 random woorden.

Problemen van Truecrypt:

- containers zijn al jaren te vinden via TChunt (opensource) maar ook professionele software (niet op de gewone markt te vinden). Er zijn een aantal (4) simpele checks waaraan alle TC containers voldoen en zelfs het amateuristische TChunt doet het aardig. Ze dagen je uit om een randomfile op te sturen die geen TC container is maar wel als zodanig wordt opgemerkt. (False positive) Dat zegt op zich al genoeg.

- Hidden volumes vinden is ook mogelijk, forensische software heeft niet bij de tijd stilgestaan

- Als je computer draait en de politie komt langs, sluiten ze een accu aan op je tafelcontactdoos en nemen je computer al draaiend mee (in een kooi van Faraday zoals dat ze ook met GSM's doen). Je PC blijft gewoon aan als hij naar het lab wordt gebracht. Daar openen ze eerst de kast en bevriezen ze je geheugenchips, die meteen worden uitgeleden. Zeer frequent zitten hier systeemwachtwoorden in, en ook eventuele kopieen van Truecrypt wachtwoordstrings die in het werkgeheugen achterblijven. Daarnaast is de kans groot dat ze gewoon je kant-en-klaar gemountte volumes eerst uitlezen als je PC eenmaal aanstaat.

- Staat je PC uit, is de Evil Maid attack een optie om eenvoudig je Truecrypt wachtwoord te achterhalen. Kwestie van USB stick booten die de bootsector wijzigt en je password opslaat de eerstvolgende keer.

- Een andere (vergezochte) mogelijkheid is dat men je BIOS flashed met een malware firmware. Daarvoor heeft men in de regel geen login op je systeem nodig.

- Ten slotte wil ik nog zeggen dat niemand weet wie Truecrypt gemaakt heeft en propageert. Het is opensource maar 99.9% van de gebruikers gebruikt de gecompileerde versie. TC compileren is wat omslachtiger maar te doen. Wie zegt dat daar niet aan geklooid is? Denk aan key-escrow of een randompool die in de statische versies (door 99.9% van de mensen gebruikt) niet eens random is.


Als je vertrouwt op Truecrypt alleen, dream on. Cascaded AES ciphers en RIPE/SHA hashes zijn leuk, net zoals open source, maar het heeft weinig zin als niemand in de source kijkt of gewoon domweg de binaries gebruikt die zijn gecompileerd door een totaal anonieme persoon.

Hier haak ik definitief af. Hat Alu hoedjes gehalte wordt echt te hoog. Je noemt het problemen van Truecrypt, maar dit geldt voor elk encryptie pakket natuurlijk.

En ik controleer Truecrypt misschien niet persoonlijk, maar ik weet wel dat er mensen zijn die dat wel doen. Daarna is het een eenvoudige vergelijking van de checksums en je weet of je de goede versie hebt. Altijd dat nonsense argument dat je zelf de code moet controleren. :P

@Gisteren, 22:21 door Anoniem
Dat is een uitstekende zet van de politie, maar tussen de regels door lees ik een(jouw?) andere mening!
Evil Maid? Nog nooit gehoord van het afzetten van boot via de USB en van een Boot (BIOS) wachtwoord?
Maar droom maar lekker door over een alternatief voor iets dat al goed is.