Форенсики против FDE
Статья из New Scientist:
Full-disc encryption is too good, complain CSI teams
Full-disc encryption is good at keeping your computer secure. So good, in fact, that it's got digital CSI teams tearing their hair out.
Computer security engineers, including a member of the US Computer Emergency Response Team, are complaining in a research paper this week that crooked bankers, terrorists and child abusers may be getting away with crimes because it is proving impossible for digital investigators to unlock their encrypted hard drives. As New Scientist related in February, full-disc encryption is a major consumer security leap. It scrambles everything on a drive when you turn off your computer, time out or log out. But the flipside, of course, is consternation for some crime fighters.
The authors of the paper say they face four major problems. First, forensics don't always realise FDE is running on an evidence-carrying computer and turn it off – so all is lost. Second, when officers copy a disc for analysis not realising it is FDE-encrypted, teams waste hours of valuable crime lab time trying to make sense of gobbledegook. Third, plugging in analysis hardware can trigger a trusted-hardware-only rule to encrypt everything. Fourth, some US suspects plead the fifth amendment and refuse to give their passphrases, while others lie and give the wrong one, claiming the FDE had failed or that they must have forgotten the passphrase.
To cope with the FDE era, the US CERT-led team want improved scene-of-crime routines and better preparation of search warrants. Their conclusion is somewhat hopeless however:
"Research is needed to develop new techniques and technology for breaking or bypassing full disk encryption."
Which kind of goes against the whole point of encryption, we would suggest.
Cache passwords in driver memory
When checked, passwords and/or processed keyfile contents for up to last four successfully mounted TrueCrypt volumes are cached. This allows mounting volumes without having to type their passwords (and selecting keyfiles) repeatedly. TrueCrypt never saves any password to a disk (however, see the chapter Security Requirements and Precautions). Password caching can be enabled/disabled in the Preferences (Settings > Preferences) and in the password prompt window. If the system partition/drive is encrypted, caching of the pre-boot authentication password can be enabled or disabled in the system encryption settings (Settings > 'System Encryption').
Такая же фигня в DiskCryptor:
Для удобства использования драйвер кеширует вводимые пароли в памяти ядра и при монтировании раздела выбирает подходящий пароль автоматически. Если подходящий пароль не обнаруживается, то программа выдаст окно ввода пароля. Пароли кешируются в неподкачиваемой памяти и не попадают в файл подкачки. Вы можете очистишь кеш паролей через пункт меню "Tools → Clear Cached Passwords", либо полностью отключить кеширование в настройках программы.
Внешние USB-диски, либо иные подключаемые тома, монтируются автоматически. Файлы программы нужны только для установки и управления зашифрованными разделами, при постоянном использовании можно обходиться без них. Зашифруйте все свои разделы одним паролем и тогда вам будет достаточно только лишь раз ввести его при загрузке.
Не затруднило бы вас дать ссылку на сей анонс?
Проблема чуть более глубока, и жаль, что никто ею не заинтересовался. После работы с приватными шифрованными данными они могут оставаться в оперативной памяти (в незашифрованном виде) непонятно какое время. И всё это — несмотря на luksClose :(
комментариев: 97 документов: 1 редакций: 3
http://www.youtube.com/watch?v=Y_70UC0tPUU
:)
комментариев: 11558 документов: 1036 редакций: 4118
Реализовано, например, в Tails LiveCD.
А что можно сказать про суспенд в Ubuntu при полнодисковом шифровании? Все мастер-ключи благополучно оседают на диске?
комментариев: 9796 документов: 488 редакций: 5664
Вопрос дурацкий. При суспенде ключи как раз остаются в памяти. Оседают — при хибернейте. На Ubuntu 10.04 LTS (alternate CD, в котором есть опции включения полнодискового шифрования) при использовании полнодискового шифрования суспенд отрабатывает нормально, а при хибернейте система уходит куда-то в астрал, и при последующем пробуждении загружается с нуля, с BIOS. Перестраховки ради после такого случая затёр нешифрованный /boot нулями и больше с хибернейтом не экспериментировал.