安全研究人员开发出提取TrueCrypt主密钥插件 - 开源中国社区
安全研究人员开发出提取TrueCrypt主密钥插件
oschina 2014年01月17日

安全研究人员开发出提取TrueCrypt主密钥插件

oschina oschina 发布于2014年01月17日 收藏 17 评论 28

加密软件TrueCrypt在机器休眠和正常运作时会将主密钥留在内存中,如果有人能物理接触TrueCrypt加密的机器,而机器并未关闭,那么他们将有可能从内存中提取出主密钥。Volatility项目安全研究人员已经开发出提取TrueCrypt主密钥的插件如truecryptsummary,能自动寻找刷新到磁盘的内存转储中的TrueCrypt实例,提取出相关密钥和参数。研究向TrueCrypt用户发出警告,如果他们不使用加密的机器,那么最好立即将其关闭。                  

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:安全研究人员开发出提取TrueCrypt主密钥插件
分享
评论(28)
最新评论
0

引用来自“lxbzmy”的评论

引用来自“钛元素”的评论

引用来自“小魔”的评论

引用来自“lxbzmy”的评论

我用过两次truecrypt, 分了10G的空间来加密,过了一年把密码给忘记了。

你真有才,

更有才的是,10Gav种子从此无法问津

是真的啊!

我也一样,有个20G的加密文件密码忘记了
0
这个漏洞真的有他的价值,要想像一下应用的场景,有客人、维修工、潜伏者。
0
同一个文件加密N遍,加入自己的特殊处理,如加密后文件分割,就算是黑客也破解不了
0

引用来自“徐继开”的评论

各位听我说一句。机器是否安全,与能否提取部分密钥不一定有关系。这取决与TrueCrypt使用何种加密算法。如果是对称密码算法,那么知道密钥就能逆向解析。相反,如果是主流的非对称算法,如DES,AES,RSA等,那么系统是Kerckhoffs原理下安全的。即使驻留在内存的密钥提取出来了,得到的也是加密后的数据流。即使同一个密钥,不同的功能下可以应用出不同的加密方式。在内存中的数据加密,我可以采用基于离散对数的的Diffie-Hellman密钥交换方案,软件中的数据可以使用基于椭圆曲线的Diffie-Hellman方案。所以,撇开加密算法讨论系统是不够严谨的。

DES和AES是对称加密。。。
0

引用来自“neoaries”的评论

引用来自“haitaosoft”的评论

引用来自“卜库塔”的评论

密码管理或者密匙管理很难有完美的解决方案吧

感觉我这个的工具应该能解决:
http://126.am/mypass

密码,最好是自己容易记,别人很难猜;
不同地方(邮箱、QQ、论坛、微博、博客、淘宝、支付宝、银行帐号的支付和查询和取款、手机的服务和本机)的密码,不能一样,
而且不能让别人从一个猜到另一个,
但又不想记这么多毫无关联的密码。

有才,這是讓人把密碼存在你服務器上嗎?

是在本机的。只有想在多台电脑间同时使用时,才需要上传、下载
0

引用来自“neoaries”的评论

引用来自“haitaosoft”的评论

引用来自“卜库塔”的评论

密码管理或者密匙管理很难有完美的解决方案吧

感觉我这个的工具应该能解决:
http://126.am/mypass

密码,最好是自己容易记,别人很难猜;
不同地方(邮箱、QQ、论坛、微博、博客、淘宝、支付宝、银行帐号的支付和查询和取款、手机的服务和本机)的密码,不能一样,
而且不能让别人从一个猜到另一个,
但又不想记这么多毫无关联的密码。

有才,這是讓人把密碼存在你服務器上嗎?

用keepass就好了,存本地
0

引用来自“haitaosoft”的评论

引用来自“卜库塔”的评论

密码管理或者密匙管理很难有完美的解决方案吧

感觉我这个的工具应该能解决:
http://126.am/mypass

密码,最好是自己容易记,别人很难猜;
不同地方(邮箱、QQ、论坛、微博、博客、淘宝、支付宝、银行帐号的支付和查询和取款、手机的服务和本机)的密码,不能一样,
而且不能让别人从一个猜到另一个,
但又不想记这么多毫无关联的密码。

有才,這是讓人把密碼存在你服務器上嗎?
0

引用来自“revol”的评论

都让别人物理接触了,还要怎样

+1
0
都让别人物理接触了,还要怎样
0
各位听我说一句。机器是否安全,与能否提取部分密钥不一定有关系。这取决与TrueCrypt使用何种加密算法。如果是对称密码算法,那么知道密钥就能逆向解析。相反,如果是主流的非对称算法,如DES,AES,RSA等,那么系统是Kerckhoffs原理下安全的。即使驻留在内存的密钥提取出来了,得到的也是加密后的数据流。即使同一个密钥,不同的功能下可以应用出不同的加密方式。在内存中的数据加密,我可以采用基于离散对数的的Diffie-Hellman密钥交换方案,软件中的数据可以使用基于椭圆曲线的Diffie-Hellman方案。所以,撇开加密算法讨论系统是不够严谨的。
0
存在大脑里面,也是可以读出的。只是诱惑不够而已。
0

引用来自“卜库塔”的评论

密码管理或者密匙管理很难有完美的解决方案吧

感觉我这个的工具应该能解决:
http://126.am/mypass

密码,最好是自己容易记,别人很难猜;
不同地方(邮箱、QQ、论坛、微博、博客、淘宝、支付宝、银行帐号的支付和查询和取款、手机的服务和本机)的密码,不能一样,
而且不能让别人从一个猜到另一个,
但又不想记这么多毫无关联的密码。
0
再者,你离开未关机和关TrueCrypt,别人直接就可以访问加密的内容了,直接拷走就行,何必提取你的主密钥这么麻烦。
0
TrueCrypt 加载时可选择是否“在内存中缓存密码和密钥文件的”
0

引用来自“钛元素”的评论

引用来自“小魔”的评论

引用来自“lxbzmy”的评论

我用过两次truecrypt, 分了10G的空间来加密,过了一年把密码给忘记了。

你真有才,

更有才的是,10Gav种子从此无法问津

是真的啊!
0

引用来自“小魔”的评论

引用来自“lxbzmy”的评论

我用过两次truecrypt, 分了10G的空间来加密,过了一年把密码给忘记了。

你真有才,

更有才的是,10Gav种子从此无法问津
0
4楼,评论话题也要看完文章才评论。
0

引用来自“Kevin19701”的评论

大哥想看你,总有办法的,关键是值不值得。

对!
0
大哥想看你,总有办法的,关键是值不值得。
顶部