真密码妥协了吗？(冷靴攻击)

Question

鉴于计算机取证和“密码恢复”实用程序中的最近的发展，是否仍然需要TrueCrypt这样的加密技术来提供高度的保护？

在我看来，从设备的RAM中(即使在关机后)检索解密密钥的能力意味着，基于硬件的加密解决方案将是未来的发展方向。

Answer 1

像TrueCrypt这样的加密技术还能得到高度的保护吗？

是的，只要你知道你从特鲁氪星得到了什么保护。

加密不是访问控制，它不保护您的系统，而它是接通。一旦你把关键材料放在计算机附近的任何地方(例如，键入它，将它装入内存中)，你就应该把它当作包含关键材料的计算机，因为它包含了关键材料。

因此，任何能够提取计算机RAM的内容都可以读取这一关键材料。这在任何方面都不应该让人感到意外。我以相当广泛的方式查看了truecrypt驱动程序代码(我不赞成它们使用静态分配的堆栈缓冲区，它们应该更喜欢ExAllocatePoolWithTag，但我知道什么呢？)在运行truecrypt的系统上，编写一个驱动程序从内存中取出音量键并不困难。

如果您想要对磁盘进行有效的加密，您必须做两件事：

1. 确保当您希望阻止访问您的数据的人观察到您时，不要将关键材料附加到系统。
2. 当数据被盗时请关闭系统。

对于一个随意的，机会主义的小偷，第1点在默认情况下发生，因为当你使用你的设备时，这个小偷几乎从来没有出现过。例如，这使得磁盘加密成为防止被盗笔记本电脑的好办法，因为偷下电源的机会主义窃贼获得了一些硬件，但没有一些数据。

然而，坚定的攻击者，或者网络文献所称的高级持续威胁，可能拥有观察1的资源。这可以通过以下几种方式实现：

1. 窃听的位置，你输入的关键材料，包括硬件键盘记录器，相机和诸如此类。
2. 利用好的旧内存，删除RAM，冻结它和任何技术，保存系统内存后，断电。
3. 危害您的系统，而它是供电-火线，恶意软件，任何。

只要使用了磁盘加密，只要以当前形式使用磁盘加密，就会出现这种情况。加密并不能保护您免受这些威胁--为此，您需要良好的访问控制、良好的审核程序、防止恶意软件访问的良好安全实践、良好的物理安全性等等。

轻微更新，为了更多的乐趣：

Hibernation是现代操作系统中的一个已知攻击向量，它依赖于您的实现完全填充安全的启动。在这方面所做的工作来自于通过修改页面文件以加载代码来绕过贴片卫士可以使用的事实。

在这两种情况下，这个故事的座右铭是，除非操作系统控制CPU，否则它不能信任它从磁盘加载的状态。

冬眠对你的记忆键有什么影响？这取决于加密驱动器上是否存在休眠文件。如果是这样的话，那么很好--您需要重新输入密钥来解密它(而且您还可以防止休眠文件攻击向量)。如果没有，那么如果密钥被写入休眠文件，您就有麻烦了。如果不是这样的话，您仍然不太安全，因为一个拥有大量资源的足够坚定的攻击者可能会利用这一点。