TrueCrypt Passwort Cache auslesen
 

Hallo

Ich brauch mal dringend eure Hilfe!

TrueCrypt bietet ja seit Version 6.1 die Möglichkeit, das Passwort auch bei der Pre-Boot-Authentifizierung im Cache zu behalten, sodass es nach dem hochfahren von Windows weiter verwendet werden kann.

Ich würde das Passwort, dass bei der Pre-Boot-Authentifizierung eingegeben wurde, gerne für mein Programm weiter verwenden, damit der User nur einmal beim Booten ein Passwort eingeben muss.

Leider habe ich sowas noch nie gemacht bestimmte Teile aus dem RAM auslesen bzw. auf die Speicherbereiche vom TrueCrypt Treiber zuzugreifen.

Ich hoffe mich kann da jemand helfen.

Gruß

Re: TrueCrypt Passwort Cache auslesen
 

Was glaubst was der Passwortschutz von TrueCrypt noch Wert wäre wenn jedes X-Beliebige Programm die Passwörter auslesen könnte :gruebel:

Re: TrueCrypt Passwort Cache auslesen
 

Man muss diese Option ja nicht aktivieren. Das ist aber ein Feature von TrueCrypt. TrueCrypt selber verwendet dies dann zum AutoMounten.
Das Passwort liegt ja sowieso im RAM. Unsicher ist das sowieso wenn man danach geht. Das MUSS ja keiner machen wenns ihm zu unsicher ist.

Mir geht es ja nur darum das ganze ein stück komfortabler zu machen. Klar erhöht sich damit das Sicherheitsrisiko aber das ist ja jedem selbst überlassen.

(Ehrlich gesagt wusste ich schon das solche Antworten wieder kommen würden...)

Re: TrueCrypt Passwort Cache auslesen
 

Wer sagt dir das? TrueCrypt kann sich auch nur ein Flag merken welches angibt, dass schon authentifiziert wurde. Genauso kann er einfach das nötige Zertifikat nach Entschlüsselung beim Starten hinterlegen anstatt dem Passwort.

Re: TrueCrypt Passwort Cache auslesen
 

Das steht in der TrueCrypt Dokumentation. Das sagt das Wort "Cache" für mich aber auch schon aus. TrueCrypt brauch ja das Passwort um die anderen Laufwerke entschlüsseln zu können.

aktiviert man die Option Wipecache, so wird das Passwort aus dem RAM gelöscht. Dann muss man das Passwort aber auch wieder neu eingeben damit TrueCrypt entschlüsseln kann!

Re: TrueCrypt Passwort Cache auslesen
 

1. Sagt Cache nur aus, dass es ein Zwischenspeicher ist. Was darin abgelegt wird und in welcher Form ist mit dem Wort noch nicht gesagt.
2. Der Hash reicht vollkommen von dem Passwort und truecrypt wird auch nicht direkt das Passwort zur Ver- und Entschlüsselung nehmen sondern den Hash davon. Somit an das Passwort in dem Sinne wirst du nicht rankommen. Das wäre auch eine drastische Sicherheitslücke.

Re: TrueCrypt Passwort Cache auslesen
 

Seit wann kann man denn mit einem Hash irgendwas entschlüsseln?

Das einzige was vieleicht sein könnte ist, das TrueCrypt zusammen mit dem Masterkey und Passwort z.B. einen neuen Key erstellt und mit dem Entschlüsselt. So genau weiß ich das jetzt auch nicht. Allerdings steht in der Doku, dass sich Passwörter, Keyfiles und der Masterkey im RAM befindet oder befinden könnte

Re: TrueCrypt Passwort Cache auslesen
 

Seit dem es schon mit dem Hash verschlüsselt wurde...

Die meisten Verschlüsselungssysteme erreichen eine recht hohe Grundsicherheit mit dem einfachen Mittel, dass das vom User eingegebene Passwort gehasht wird. Dadurch entsteht ein für dieses Passwort eindeutiger Schlüssel bzw. Datensequenz (Sinn eines Hash), welcher dann für die Verschlüsselung genutzt wird. Dadurch wird niemals an irgendeiner Stelle ein Passwort nach der Eingabe im Klartext gehalten oder sonstwie rückführbar gespeichert. So lange diese Möglichkeit gegeben ist, stellt dies ein grosses Sicherheitsrisiko dar, da man immer Speicher auslesen kann (so wie du es nun auch vorhast). Selbst wenn man sich ein noch so sicheres System schreibt - vllt. sogar ein eigenes OS - ist es nie wirklich sicher darin Klardaten zu speichern. Einmal in einer virtuellen Umgebung gesartet kann der Host den gesamten Speicher durchsuchen und die Daten extrahieren.

Der Hash ist eindeutig. Wenn der Nutzer sein Password wieder eingibt wird diese Eingabe wieder gehasht mit dem gleichen System und es kommt die gleiche Hashsequenz raus, wenn das Passwort gleich ist. Ist das Passwort anders, kommt ein anderer Hash raus und damit sind die entschlüsselten Daten Datenmüll. Selbst der Hash des Passwortes wird nirgendwo gespeichert, mit ihm wird nur ver- und entschlüsselt. Ob das Passwort und damit der Hash richtig war, erkennt man ob die Checksumme der wieder entschlüsselten Daten die gleiche ist wie vor dem verschlüsseln. Dieser Wert wiederrum ist nicht relevant und aussagelos und kann somit ohne Gefahr gespeichert werden.

Und nur nochmal als Hinweis: Man kann mit einem Hash nicht mehr die Originaldaten zurückrechnen.

Re: TrueCrypt Passwort Cache auslesen
 

Also irgendwie kapier ich nicht so ganz was daran jetzt sicherer sein soll.

Wenn das so ist wie du das beschreibst, dann brauch ich ja gar kein Passwort mehr sondern nur den Hash davon um die Dateien zu entschlüsseln. Und selbst der Hash muss irgendwann einmal im RAM stehen. anders geht es nicht! Und somit wären wir wieder bei Null. 100%ige Sicherheit gibt es nicht.

Re: TrueCrypt Passwort Cache auslesen
 

Das aus einem Passwort erst der Schlüssel (Hash oder sonstwas) generiert wird, ist doch eher der Normalfall.

Sowohl zum en/decodieren als auch zur Speicherung verwenden doch moderne System nicht mehr das Passwort selbst, sondern den daraus generierten Schlüssel/Hash. Das Passwort ist im Idealfall im Kopf des Benutzers gespeichert, sonst nirgends. Wenn man den Schlüssel hat, kann man ihn anwenden, ganz egal woraus der besteht. Deshalb ist richtig, dass es keine 100%ige Sicherheit gibt.

Ich glaube aber, hier wurde versucht zu sagen, das TrueCrypt mit entsprechenden Maßnahmen den im Speicher/Cache etc. abgelegten Schlüssel vor fremden Zugriff geschützt hat (mit den derzeit zur Verfügung stehenden Möglichkeiten).