TrueCrypt + VirScan als mögliches Leck?

Jump to last post
axel3

axel3

ButtercremTORte
Registriert
7 Aug. 2013
Beiträge
52
Ort
zwischen Geistig und Materiell ;)
Moin, zusammen:
Helft mir doch mal kurz denken:
Windows Platte TC vollverschlüsselt.
PassPhrase im RAM unverschlüsselt.
You do not have permission to view link please Anmelden or Registrieren

Virenscanner (als System angemeldet) mit Zugriff auf RAM

Also, wenn ich NSA wäre, würde ich dort ansetzen.
Oder wie seht ihr das?
Gruß:
Axel3
 
Note: The issue described below does not affect you if the system partition or system drive is encrypted
Zum Vergrößern anklicken....
Wenn Du also das ganze System verschlüsselt hast (und davon gehe ich aus, wenn Du von vollverschlüsselt sprichst), dann lässt sich das Passwort aus dem RAM schon mal nicht mehr auslesen.

Wenn es der NSA oder einem beliebigen anderen Angreifer aber möglich ist, Deinen RAM auszulesen, dann hätten sie ja gleichzeitig auch die Möglichkeit, beispielsweise ein
You do not have permission to view link please Anmelden or Registrieren
zu installieren. Damit könnte das Passwort theoretisch dann während der Eingabe wohl wieder ausgelesen werden.
 
axel3 schrieb:
[...]Also, wenn ich NSA wäre, würde ich dort ansetzen.
Zum Vergrößern anklicken....

Zu kompliziert. Das ginge dann auch einfach über einen Trojaner der die Tastatureingaben mit schneidet. Sobald ein Dritter Zugriff auf dein Live-System hat, dürften deine Sicherheitsmaßnahmen auf jeden Fall kompromittiert sein.

MfG
Mr. J
 
Im Prinzip wäre ein solcher Virenscanner ja nichts anderes als ein Trojaner.
Theoretisch für denkbar halte ich das von der technischen Seite her schon, allerdings gibt es da zwei Dinge bei zu bedenken:
Erstens gibt es viele Anbieter von Antiviren-Software, die nicht im direkten Einzugsgebiet der NSA beheimatet sind. Die Marketingchance hier wäre in diesem Fall extrem groß...
Warum sollte zB ESET da mitmachen? Die würden mehr verkaufen als jemals zuvor, wenn die hingehen und sagen: Anders als amerikanische Anbieter, bauen wir keine NSA-Backdoor ein.
Zweitens würde die NSA die Methode niemals an "Otto Normal Verdächtige" verschwenden. Egal was dir vorgeworfen wird, diesen Joker würde die NSA gegen 99,999% aller Leute nicht ziehen.
Solange man nicht auf der Most Wanted Liste steht, oder mit Atomwaffen handelt, können sich die "normalen" Behörden (erfolglos) an TC abarbeiten.
 
Mr_J schrieb:
Das ginge dann auch einfach über einen Trojaner der die Tastatureingaben mit schneidet
Zum Vergrößern anklicken....

Nein, geht nicht. Dazu ist physischer Zugriff auf die Maschine und Installation eines Boot-Virus notwendig. Mit UAC und UEFI nicht nur doppelt sondern dreifach unmöglich.
 
The_Emperor schrieb:
Nein, geht nicht. Dazu ist physischer Zugriff auf die Maschine und Installation eines Boot-Virus notwendig. Mit UAC und UEFI nicht nur doppelt sondern dreifach unmöglich.
Zum Vergrößern anklicken....

Wo doch gleich sollte jetzt der Unterschied zum Virenscanner sein? So oder so muss beim Nutzer Software eingeschleust werden. Finde ich sowieso interessant, dass die NSA so was noch nicht z.B. bei Microsoft versucht hat, aber der Rechtsbruch wäre wohl zu offensichtlich.

MfG
Mr. J
 
You do not have permission to view link please Anmelden or Registrieren

der key muss immer irgendwo unverschlüsselt stehen wo die cpu unmittelbaren zugriff drauf hat und das ist nun mal der RAM es gibt zwar Pläne dafür spezielle CPU Register einzuführen aber afaik ist das noch nicht geschehen.

Und der ram lässt sich mit System rechten nun mal auslesen also ja wenn auf deinem Rechner Schadsoftware mit system rechten läuft kann diese den master key auslesen.
man beachte hier "System" rechte ein "normaler" admin kann das auch nicht unmittelbar da auch er nicht mit höchsten Privilegien läuft diese hat nur der kernel selbst und ggf. Treiber
ob Antivirensoftware unter windoof mit System rechten läuft weiß ich nicht genau ist aber definitiv möglich

zur Erklärung: "moderne" Prozessor sind in mehrere Berechtigungsebene(genannt ringe) aufgeteilt.
x86 Prozessoren(also die von intel und amd) besitzen 4 dieser ringe(0-3)
der kernel läuft in ring 0 und alle anderen Programme in ring 3 der kernel bestimmt was die Programme tun können und was nicht.
bevor hier die frage auftaucht ja auch ring 1 und 2 könnte man natürlich nutzen macht man aber aus Kompatibilitätsgründen nicht arm z.B. hat nur 2 Ringe
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben