我在电脑上使用 TrueCrypt 加密硬盘,用于存储所有工作文件。通常,当我离开笔记本电脑时,我只需锁定 Windows 会话,但保留 TrueCrypt 驱动器。
现在我想知道,如果有人在这种状态下(即安装了 TrueCrypt 驱动器但会话锁定)窃取了我的笔记本电脑,他们是否有可能访问我加密硬盘上的数据?
一些澄清:
我意识到卸载驱动器是最安全的方法,但我经常有多个进程从中运行,并且我不想在离开 5 分钟后关闭所有内容。
假设小偷不知道我的会话密码并且没有在我的计算机上安装键盘记录器(并且无法访问 NSA 的高科技工具:),他是否有可能绕过 Windows 登录屏幕并访问我的 TrueCrypt 数据?
答案1
如果您是普通用户,而普通小偷偷走了您的笔记本电脑,那么您真的无需担心,因为他们不知道如何检索您的数据,甚至不想这样做。如果您的数据成为小偷的目标,小偷可能会采取一些行动。
- 使用 DMA 端口(如 Firewire)连接另一台计算机并保存 RAM,然后恢复加密密钥(参见密码软件)
- 使用某种东西来冷却 RAM 条,然后使用实用程序将 RAM 保存到闪存驱动器或取出 RAM 条并将其放入另一台计算机中。
- 可能从 pagefile.sys 或 hiberfil.sys 恢复密钥
如果您想避免这些攻击,您需要使用 truecrypt 全盘加密并利用休眠模式。它应该再次要求输入密码才能从休眠状态启动。
如果您不想休眠,则应禁用它powercfg -h off
并通过运行将页面文件设置为加密fsutil behavior set encryptpagingfile 1
。页面文件使用启动时生成的随机密钥加密,并在关机时丢失。
然后将计算机设置为首先从 HDD 启动,并设置 BIOS 密码,这将阻止有人试图冷却内存并使用同一台计算机恢复它。这不会阻止他们这样做,但可能会减慢他们的速度,以至于在他们试图清除 CMOS 时数据会丢失。
如果您有 FireWire 但不使用它,您应该在 BIOS 中禁用它以避免此类攻击。另一个具有 DMA 的端口是新的 Thunderbolt 端口,但它尚未推出。
答案2
一旦安装了 truecrypt 驱动器,它就“可用”,因此在您的情况下,驱动器和任何潜在窥探者之间的唯一障碍是锁定的 Windows 会话 - 因此您的数据与您设置的 Windows 密码一样安全。
如果您真的担心有人访问您的数据,您应该在离开机器或不需要访问机器时卸载 TrueCrypt 驱动器。
答案3
实际答案是否定的。但是,如果您是高价值目标,例如间谍,那么坚定的对手会拿走您的计算机,然后使用各种方法读取 RAM 并嗅探出密钥。如果您真的担心这种情况,您应该始终关闭计算机,并且由于断电后 RAM 可能会被嗅探一段时间,因此您应该在关闭笔记本电脑后观察 5 到 10 分钟。