Действительно ли кто-то может получить доступ к смонтированному диску TrueCrypt, если они украли мой ноутбук?
Я использую зашифрованный жесткий диск TrueCrypt на своем компьютере, где я храню все свои рабочие файлы. Обычно, когда я оставляю свой ноутбук, я просто блокирую сессию Windows, но оставляю диск TrueCrypt смонтированным.
Теперь я задаюсь вопросом, если кто-то крадет мой ноутбук, когда это находится в этом состоянии (т.е. смонтированный диск TrueCrypt, но с заблокированной сессией), для них действительно ли возможно получить доступ к данным по моему зашифрованному жесткому диску?
Некоторые разъяснения:
Я понимаю, что размонтирование диска является самым безопасным путем, но у меня часто есть несколько процессов, работающих от него, и я не хочу закрывать все, если я уезжаю только в течение 5 минут.
Принятие вора не знает моего пароля сессии и не устанавливало клавиатурный перехватчик на моей машине (и не имеет доступа к высокотехнологичным инструментам из NSA :), для него действительно ли возможно обойти экран входа в систему Windows и получить доступ к моим данным TrueCrypt?
3 ответа
У Вас действительно нет ничего для волнения о том, если бы Вы - обычный пользователь, и общий вор берет Ваш ноутбук, поскольку они не знали бы, как получить Ваши данные или даже хотеть сделать так. Если Вы предназначаетесь для Ваших данных, вор мог бы сделать несколько вещей.
- Используйте порт DMA, такой как Firewire, чтобы поднять трубку другой компьютер и сохранить RAM затем восстановление ключи шифрования (см. Passware),
- Используйте что-то, чтобы охладить палки RAM и затем использовать утилиту, чтобы сохранить RAM к флеш-накопителю или удалить палки и поместить их в другой компьютер.
- Возможный восстанавливают ключ с pagefile.sys или hiberfil.sys
Если бы Вы хотите избежать тех нападений, необходимо было бы использовать truecrypt полное шифрование диска и использовать, в спящем режиме. Это должно потребовать, чтобы пароль снова загрузил его от спящего режима.
Если Вы не хотите быть в спящем режиме, необходимо отключить его powercfg -h off и набор Ваш файл подкачки, который будет зашифрован путем выполнения fsutil behavior set encryptpagingfile 1. Файл подкачки шифруется со случайным ключом, сгенерированным при начальной загрузке, и проиграл на завершении работы.
Затем установите компьютер, чтобы загрузиться от жесткого диска сначала и установить пароль BIOS, это препятствовало бы кому-то пытающемуся охладить поршень и использовать тот же компьютер для восстановления его. Это не препятствовало бы тому, чтобы они делали его, но это могло бы замедлить их вниз достаточно, что данные потеряны, в то время как они пытаются очистить CMOS.
Если у Вас есть FireWire, и Вы не используете его, необходимо отключить его в BIOS для предотвращения такого нападения.. другим портом, который имеет DMA, является новый Удар молнии один, но не все же.
После того как диск truecrypt смонтирован, это 'доступно', таким образом, в Вашей ситуации единственный барьер между диском и любым потенциальным снупером является заблокированной сессией Windows - таким образом, Ваши данные так безопасны, как Вы делаете свой пароль Windows.
Если Вы действительно волнуетесь по поводу кого-то получающего доступ к Вашим данным, необходимо размонтировать диск TrueCrypt каждый раз, когда Вы оставляете машину необслуживаемой или когда Вы не должны получать доступ к нему.
Практический ответ нет. Однако, если бы Вы - высокая цель значения, как шпион, затем решительный противник взял бы Ваш компьютер и затем использовал бы различные методы, чтобы считать RAM и пронюхать ключи. Если Вы действительно обеспокоены этим сценарием, необходимо всегда закрывать компьютер И так как RAM может быть сниффинговой некоторое время после удаления питания, необходимо наблюдать ноутбук в течение 5 или 10 минут после завершения работы его.