TrueCrypt 声称只将解密的数据存储在 RAM 中。但有时 RAM 会被转储到交换区(交换分区或交换文件)。这是隐私问题吗?
答案1
你可能会在这篇论文中找到一些有趣的参考资料,
记忆的持久性:法医鉴定和加密密钥提取(PDF 参考)
Volatility 的作者通过研究 TrueCrypt 的内部结构和行为 (Walters and Nick, 2007) 描述了针对 TrueCrypt (Foundation, 2008) 的假想攻击。但是,他们没有描述如何在内存中定位不同的结构,也没有讨论其中一些结构可能被调出的事实,从而打破了如果只有内存转储可供分析则通向主密钥的数据结构链。...
在
内存分析的其他领域,分析师通过从 RAM 和交换空间中提取页面来转储特定进程的内存地址空间。转储有时足以验证 4 甚至完全重建可执行文件 (Kornblum, 2006)。根据几篇文章 (例如,参见 Schuster, 2006 和 Carvey, 2007),这些技术能够识别在 Windows 内存转储中隐蔽和/或装甲的木马、rootkit 和病毒。
更多内容请见本文。
答案2
这可能是一个问题,但这不是唯一的问题。即使没有交换,应用程序也可能会将临时文件写入磁盘,而不知道原始文件是以某种安全的方式存储的。就像文字处理器可能会不时自动保存你的文档一样。而且或许视频播放器可以自动转换非其原生格式的文件,并将临时文件写入磁盘。
此外,所有程序都会将文件(的一部分)保存在自己的内存中,这些文件可能会在休眠(睡眠)时写入磁盘。