在这种情况下truecrypt和EFS是否容易破解？

Question

• 我怀疑在过去的几个月里我的笔记本电脑里有一些信息被删掉了。因此，我正在寻找加密我的数据的方法。我想尝试对敏感文件文件夹使用truecrypt，对该分区中的文件使用EFS。我不是专家，所以我怀疑这件事有多容易解决。
• 这里的环境是一个办公室工作环境，一些同事愿意(和等待)从我的笔记本电脑中复制有价值的个人信息。我们通常在同一个“会议室”里工作，只有一张桌子，所以使用笔记本电脑很容易。由于安全检查，偷这台笔记本电脑的几率很低。当我在那个房间时，通常会挂载带有受保护的数据文件夹的真正的地窖卷。
• 有计划的攻击结合本地和远程方法是很有可能的。这就是，安装一个特洛伊木马/键盘记录器，可以对笔记本电脑进行物理访问，以便稍后使用它窃取信息。

-Weakness :即使是每次我离开共享房间的时候都试图锁上窗户屏幕，也有几次我已经忘记了(例如，如果我需要匆忙地在外面做一些事情，然后回来的话)。此外，即使我设置我的屏幕保护程序锁定窗口帐户后，5分钟的不活动，攻击者可以移动鼠标垫保持活动后，我离开房间。我已经安装了杀毒软件，但我们知道，有时这还不够。

• 攻击者与笔记本电脑单独进行攻击的时间可能在3-5分钟左右。
• 可能的攻击将如下所示：
  1. 我离开房间，帐户没有被封锁，攻击者看到机会并安装了特洛伊木马/键盘记录器。
  2. 将捕获windows帐户密码。
  3. hibersys文件稍后会上传到攻击者服务器和目标文件夹。
  4. 文件是用某种工具解密的。(就像elcomsoft ) http://blog.crackpassword.com/2012/12/elcomsoft-decrypts-bitlocker-pgp-and-truecrypt-containers/，这会很容易吗？我是不是漏掉了什么？我应该担心吗？

你有什么建议来避免这种情况？

提前谢谢。

PDTA:在第一次事件发生后，我格式化了我的硬盘驱动器，从假期开始我就没去过办公室了。下个星期我要回去。

Answer 1

攻击者的实际存在是最难防御的。一些产品认为“实际存在”是所有权的标志，并允许在机器前的人拥有充分的权利。例如，允许重置BIOS密码的主板，以便不锁定忘记密码的用户。

EFS + TrueCrypt解决方案很好，但它取决于密码的安全性。您的数据是安全加密的，但您的密码不受拦截保护。密钥记录是截取密码的一种简单方法，但是大多数已知的密钥记录器都会被防病毒病毒检测到。攻击者可以在您的计算机上运行一个看起来像TrueCrypt的程序，并将您的密码发送给攻击者。

如果您在敌对环境中不锁定您的计算机，您就不可能对隐私和安全抱有任何期望。没有办法100%确定你能在事后发现并干扰入侵。锁上你的电脑很容易，你应该养成这样做的习惯。按下Windows key + L将锁定Windows，CTRL + ALT + L将锁定大多数Linux桌面环境。

Windows及以后版本中的EFS将加密pagafile.sys，而不加密hyberfil.sys，后者可用于提取TrueCrypt密钥。

内存中的TrueCrypt未加密数据：

Microsoft没有提供任何适当的API来处理休眠和关机，当计算机休眠、关闭或重新启动时，用于系统加密的主密钥不能可靠地(也不能)从RAM中删除。

使用TrueCrypt全磁盘加密来加密所有硬盘驱动器。

TrueCrypt全磁盘加密的一个缺点是攻击者可以多次进行物理访问。攻击的名称为邪恶少女，并通过使用TPM减轻了攻击。基本上，攻击者修改TrueCrypt密码检查代码以将键入的密码存储在明文中，以供以后检索。其他全磁盘加密产品也是如此。如果您的笔记本电脑提供TPM功能，请使用TPM功能。把你的笔记本电脑放在家里，或者用钥匙把它锁起来，如果你想要更多的安全性，那就比Truecrypt所能提供的更多。

更新：

自动锁定计算机的一个巧妙的解决方案是使用这个程序：http://stevetarzia.com/sonar/。它使用回声“查看”，如果您不再在您的计算机前面。

也有类似的解决方案使用网络摄像头。https://www.keylemon.com/product/

Answer 2

我同意@CristianDobre所写的话，你手上有一个极其困难的安全状况，特鲁克特是解决不了的。如果你的同事可以不受限制地访问你的机器，而且你的意图不好，那么你就不能保护你的机器，也不能保护它上的任何信息，因为你的密码可以被读取。即使他们不是，你的攻击者也可以在你安装了truecrypt并在驱动器上运行并以这种方式访问它时，攻击你的机器并登录它。或者，他们可以编写一个简单的powershell脚本，该脚本可以按计划运行，寻找对驱动器字母的访问权限，并在访问之后立即复制它。

我的建议是在USB棒或硬盘上安装一个坚固的Linux虚拟机，并在您在房间时运行它。你需要暂停它，删除媒体，每次你离开房间时都带着它。完成所有工作，将所有数据存储在truecrypt加密卷中，在虚拟操作系统上运行truecrypt，而不是在您的计算机上运行。使用虚拟键盘，即单击键的图形，键入密码以击败安装在物理机器上的任何键记录器。千万不要让USB卡离开你的物理存在，哪怕是一分钟，并且每天晚上使用不同的计算机更改虚拟机上的密码。如果你的情况如此糟糕，而你真的需要保护这些数据，那么你就需要遵守纪律，这将是一个巨大的痛苦。

每天在工作计算机上更改密码也是有意义的。它可能阻止不了他们，但至少可以减缓他们的速度。

Answer 3

我不明白为什么禁用休眠和将火线驱动程序从系统中删除不是一个解决方案。正如上面的文章所指出的，绕过火线方法的方法是删除驱动程序。第二。我们一直听到解密程序从休眠文件中删除密钥。很好。通过注册表项禁用它。现在这样不安全吗？