ComputerBase Menü
Aktuelles

veracrypt Passwort und Ram auslesen

S

speedy55

Lt. Commander
Registriert
Mai 2013
Beiträge
1.595
Hallo,

angenommen, ich habe ein Container geöffnet, diesen danach geschlossen und den PC in den Ruhezustand gesetzt. Kann hier noch explizit das Passwort aus dem Ram gelesen werden oder wird der Key-Eintrag nach dem Schließen des Containers direkt gelöscht?

LG
 
Ich denke, das solltest Du mal direkt den/die Entwickler fragen. Alternativ den Source-Code anschauen.

Cu
redjack
 
speedy55 schrieb:
PC in den Ruhezustand gesetzt
Zum Vergrößern anklicken....

Ruhezustand ist S4. Der RAM wird nicht mehr mit Strom versorgt und verliert seine Daten.

speedy55 schrieb:
Kann hier noch explizit das Passwort aus dem Ram gelesen werden
Zum Vergrößern anklicken....
Es kann also nichts sinnvolles mehr aus den RAM Modulen ausgelesen werden.

Der Restart erfolgt aus einem RAM Abbild auf der HDD/SSD.
Ob hier was auslesbar wäre ist eine andere Frage.
Ich würde sagen Windows cleart vorher alles nicht benötigte, damit das schreiben des Abbilds nicht unnötig lange dauert.
 
h00bi schrieb:
Der Restart erfolgt aus einem RAM Abbild auf der HDD/SSD.
Ob hier was auslesbar wäre ist eine andere Frage.
Ich würde sagen Windows cleart vorher alles nicht benötigte, damit das schreiben des Abbilds nicht unnötig lange dauert.
Zum Vergrößern anklicken....
Was aber nicht nützt, wenn VC auch nach dem Dismount dem Masterkey im Ram halten würde. VC bleibt nach dem Dismount des letzten Containers im Ram, womit das durch VC genutzt Ram im RAM Abbild laden muss und von dort auch wieder hergestellt werden muss.
 
Mann müsste doch einmal zwischen 'Key' und 'Passwort' unterscheiden, oder?
Ich habe bei meinen Recherchen jetzt ein paar mal gelesen, dass sich das Passwort nur während der Schlüsselableitung im RAM befindet. Sobald der Schlüssel zum Container generiert wurde, wird das Passwort gelöscht. Im Ram befindet sich dann zwar der Verschlüsselungsschlüssel, wobei das Passwort nicht mehr aus dem Verschlüsselungsschlüssel neu generiert werden kann.
Ein Key hingegen befindet sich während des gesamten Mount im Ram und wird erst bei einem Dismount daraus gelöscht.
 
Dass Passwort wird nicht im Klartext im RAM gespeichert.
Auch mit anderen Informationen die VeraCrypt im RAM temporär speichert, lassen sich keine Passwörter oder irgendwas, was das Knacken von Containern erleichtern könnte, gewinnen.
 
Ah .. OK!
Also kann man rel. sicher davon ausgehen, dass nichts mehr relevantes vorhanden ist, wenn der Container mit einem Passwort gemounted und dismounted wurde, um das Passwort doch noch irgendwie zu rekonstruieren.
Auch nicht mit dem Forensik-Tool, womit ich meine Gedanken erst gestartet habe.
D.h. letzlich wäre nur noch das gute alte Brute-Force möglich? ^^
 
Das Passwort ist auch uninteressant, das wird eh nur hergenommen, um aus einer "vom Mensch rekonstruierbaren" (aka. mehr oder weniger leicht zu merkenden) Zeichenfolge einen einheitlich langen Key zu generieren, mit dem dann die Ver- und Entschlüsselung(en) durchgeführt werden.

Hast du den Key, ist das Passwort völlig egal - denn damit kann der Container sofort und vollständig entschlüsselt werden. Und dieser Key ist während der gesamten Zeit, in der der zugehörige Container geöffnet ist, unverschlüsselt im RAM vorhanden, sonst könnte auch VeraCrypt keine Daten ver/entschlüsseln. (Es gibt auch hier die Möglichkeit, den Master Key im RAM verschlüsselt abzulegen, geht aber auf die Performance)

Aber: Wenn der Container dismounted wird, wird der Key im Speicher überschrieben und damit ist der da weg.
 
Super! ... Vielen Dank.
Und so wie beschrieben, bliebt der Master-Key im RAM-Abbild vorhanden, wenn ich z.B. den Container 'unsanft' beende (wenn z.B. noch ein Film im Container mit einem Player offen ist).
 
Zuletzt bearbeitet:
Genau, möglich wäre beispielsweise eine Cold Boot-Attacke, da gibt es ein nettes Paper dazu.
Wenn du aber nicht gerade das vollständige Video zum Kennedy-Attentat auf der Platte hast, ist so ein Angriff im heimischen Umfeld eher theoretischer Natur.
 
Man weiß ja heutzutage nie, was z.B. die Polizei so finden möchte ^^.
Auch wenn man irgendwie über Chats/Gruppen usw. ins Visier gerät, wird gleich die komplette EDV Anlage mitgenommen. Dann muss ja nicht alles offen wie ein Buch sein.
 
Computer, Smartphones und Speichermedien können tatsächlich schon wegen kleinerer Delikte beschlagnahmt werden.

Wenn du auf Nummer sicher gehen willst, erstellt du nicht nur Container für sensible Dateien, sondern verschlüsselst das System komplett. (Am besten mit Bitlocker wegen der Kompatibilität)

Die VeraCrypt-Container kannst du zusätzlich härten, indem du Schlüsseldateien erstellst. (Das geht auch nachträglich).
Es ist quasi dann eine 2-Faktor-Authentifizierung. Du musst dir hierfür kein weiteres Passwort merken, sondern brauchst nur Zugriff auf den Schlüssel.

Der Schlüssel kann auf einen USB-Stick gespeichert werden.
Den darfst du allerdings nicht verlieren. Zum Entsperren der Container brauchst du dann immer Passwort + Schlüsseldatei.
 
Wie schaut es aus im laufenden Betrieb mit dem Key bzgl. hiberfil.sys und pagefile.sys?
Wird da durch VC bei einem Mount was reingeschrieben im laufenden Betrieb?
Bzw. werden die Daten bei einem sauberen Reboot geleert?

Wird eh deaktiviert, wenn unter VC RAM-Encryption aktiviert ist.

Ja ... mein System wird auch voll verschlüsselt ^^.
 
Zuletzt bearbeitet:
Wenn Du ein recht sicheres System willst, dann ist Windows sowieso das falsche System. Außer MS wird Dir niemand sagen können, was da u.U. in diversen Systemdateien landet. Da öffnest Du dein tausendfach verschlüsseltes Textdokument (ist hoffentlich plani ASCII und kein Word), Windows kommt, aus welchen Gründen auch immer, auf die gloreiche Idee, den Text ins Pagefile zu schreiben und dann darfst Du eine Supportanfrage bei MS aufmachen, wann sie warum und was im pagefile löschen.

Ist aber auch egal, wenn Du das ganze System zusätzlich verschlüsselst, dann gehe ich davon aus (ohne Beweis und ohne bei MS gefragt zu haben, ich betreibe hier kein Fort Know, sonst wäre Windows schon vor 20 Jahren von allen Rechnern gelöscht und suspend-to-Irgendwas sowie Swapping deaktiviert) dass die gesamte HDD (oder wenigstens alles, was darauf geschreiben wird) von Bitlocker verschlüsselt wird.

Wenn Du das Hyberfile bei einem Reboot leeren lassen wills, dann schalte den Krempel, der am Desktopn mit viel Glück 1-2 Sekunden bringt (wie schnell kannst Du die ganzen Passwörter eintippen?) halt komplett ab.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
VeraCrypt Passwort vergessen
Antworten
9
Aufrufe
2.695
Questionmark
Questionmark
F
  • Gesperrt
Veracrypt passwort vergessen :(
Antworten
1
Aufrufe
3.556
BFF
BFF
M.B.H.
VeraCrypt - Passwort bei mehreren Platten nur einmal eingeben möglich?
Antworten
8
Aufrufe
3.160
el.com
el.com
1
Veracrypt Passwort Verifizierung
Antworten
13
Aufrufe
2.476
1337LEET
1
P
TrueCrypt Kennwort aus RAM auslesen (Key data (hex))
Antworten
6
Aufrufe
4.028
=DarkEagle=
D

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz