誰かが私のラップトップを盗んだ場合、マウントされたTrueCryptドライブにアクセスできますか?
すべての作業ファイルを保存するコンピューターでTrueCrypt暗号化ハードドライブを使用しています。通常、ラップトップを離れるときは、Windowsセッションをロックするだけで、TrueCryptドライブをマウントしたままにします。
この状態のときに誰かが私のラップトップを盗んだ場合(つまり、TrueCryptドライブがマウントされているが、セッションがロックされている場合)、暗号化されたハードドライブ上のデータにアクセスすることは可能ですか?
いくつかの説明:
ドライブをアンマウントするのが最も安全な方法だと思いますが、ドライブからいくつかのプロセスが実行されていることが多く、5分間だけ放置してもすべてを閉じたくありません。
泥棒が私のセッションパスワードを知らず、私のマシンにキーロガーをインストールしなかった(そしてNSA :)からハイテクツールにアクセスできない)と仮定すると、彼はそれが可能ですか? Windowsのログイン画面をバイパスしてTrueCryptデータにアクセスするには?
あなたが通常のユーザーであり、一般的な泥棒があなたのデータを取得する方法を知らないか、そうすることさえ気にしないのであなたのラップトップを持って行くならば、あなたは本当に心配することは何もありません。あなたがあなたのデータの標的にされているならば、泥棒はいくつかのことをすることができます。
- FirewireなどのDMAポートを使用して、別のコンピューターを接続し、RAMを保存してから、暗号化キーを回復します( パスウェア を参照)
- 何かを使用してRAMスティックを冷却し、ユーティリティを使用してRAMをフラッシュドライブに保存するか、スティックを取り外して別のコンピュータに配置します。
- Pagefile.sysまたはhiberfil.sysからキーを回復できる可能性があります
これらの攻撃を回避したい場合は、truecryptフルディスク暗号化を使用し、休止状態を利用する必要があります。休止状態から起動するには、パスワードが再度必要になります。
休止状態にしたくない場合は、powercfg -h offを無効にし、fsutil behavior set encryptpagingfile 1を実行してページファイルを暗号化するように設定する必要があります。ページファイルは、起動時に生成され、シャットダウン時に失われるランダムキーで暗号化されます。
次に、最初にHDDから起動するようにコンピューターを設定し、BIOSパスワードを設定します。これにより、誰かがRAMを冷却し、同じコンピューターを使用してRAMを回復しようとするのを妨げることになります。それは彼らがそれをするのを妨げることはありませんが、彼らがCMOSをクリアしようとしている間にデータが失われるほど彼らを遅くするかもしれません。
FireWireを使用していて使用しない場合は、その種の攻撃を回避するためにBIOSで無効にする必要があります。DMAを持つ別のポートは新しいThunderboltポートですが、まだ出ていません。
Truecryptドライブがマウントされると、それは「利用可能」になるため、状況によっては、ドライブとスヌーパーになる可能性のある人との間の唯一の障壁は、ロックされたWindowsセッションです。したがって、データはWindowsパスワードを作成するのと同じくらい安全です。
誰かがデータにアクセスすることを本当に心配している場合は、マシンから離れるとき、またはアクセスする必要がないときはいつでも、TrueCryptドライブをアンマウントする必要があります。
実用的な答えはノーです。ただし、スパイのように価値の高いターゲットである場合は、決心した敵がコンピュータを手に取り、さまざまな方法を使用してRAMを読み取り、キーを盗聴します。このシナリオについて本当に心配しているので、常にコンピュータをシャットダウンする必要があります。また、電源を切った後、しばらくの間RAMが盗聴される可能性があるため、シャットダウン後5〜10分間ラップトップを監視する必要があります。 。