打破Veracrypt:获取和提取在速上的加密密钥
2013年发布后,Veracrypt拾取了TrueCrypt离开的地方。支持更多加密算法,更多哈希函数和变量数量的哈希迭代,Veracrypt是安全意识的默认选择。 Veracrypt除了一个:一旦加密磁盘安装后,必须在计算机的RAM中保存对称,无电加密密钥,以便读取和写入加密数据。 Veracrypt的最新变化使OTF密钥提取更加困难,而Elcomsoft法医磁盘解密器的最新更新会尝试抵消变化的效果。谁将赢得这一轮?
本出版物中描述的RAM成像和关键提取攻击旨在实现实时系统分析。如果在安装加密容器期间使用经过身份验证的会话获取运行PC,则可以能够将计算机RAM的内容转储到文件中,并扫描多个加密中使用的可在线加密密钥的文件工具(BitLocker,TrueCrypt,Veracrypt,PGP磁盘和PGP WDE)。绝对要求是加密磁盘或容器在RAM转储过程中安装(解锁)。
没有缺乏加密工具和加密容器。 BitLocker,Luks,FileVault 2和多个第三方工具可以保护一个人的数据。是什么让Veracrypt如此特别?
它是关于选择散列和加密方法,这些方法不会以任何方式存储在磁盘标题中。攻击BitLocker,Luks或FileVault 2很简单:读取磁盘标题,弄清楚加密算法和KDF(关键推导函数),设置攻击并等待。根据散列算法和KDF中指定的哈希迭代次数,攻击可能会更快或更慢,但它们永远不会特别慢。
在Veracrypt中,关于加密算法或KDF的信息永远不会保存在磁盘标头中。加密磁盘时,用户可以选择15个加密算法(包括组合)和5个散列函数。这使得它为15×5 = 75可能的对称密码组合和单向哈希函数尝试。如果您不知道究竟使用哪个密码和哪个哈希函数已被用于加密容器,则必须在攻击期间尝试所有75个组合,从AES-256加密和SHA-512哈希的默认组合开始功能。无论哪种方式,攻击都会很慢。非常慢,即使已经使用了密码和哈希的默认组合。要为您提供一个想法,默认组合(AES-256 + SHA-512)可以以每秒1140密码的速率与单个NVIDIA RTX 2070板攻击。如果您对哈希函数或加密算法一无所知,同样的电路板每秒只提供每秒6.63密码的速度。
除了选择加密算法和散列函数之外,Veracrypt还提供了另一种用于保护数据的维度。创建加密磁盘时,用户可以选择使用非默认哈希轮数(这用于密钥导出函数以将密码字符串转为二进制键)。在偏执的安全性中,Veracrypt开发人员以下列方式定义此功能:
PIM代表“个人迭代乘法器”。它是在Veracrypt 1.12中引入的参数,其值控制标题键派生功能使用的迭代次数。此值可以通过密码对话框或命令行指定。
如果未指定PIM值,则Veracrypt将使用在1.12之前的版本中使用的默认迭代次数(请参阅标题键派生)。
对于不使用SHA-512或WhirlPool的系统加密:迭代= PIM x 2048
用于使用SHA-512或Whirlpool的系统加密,非系统加密和文件容器:迭代= 15000 +(PIM x 1000)
在版本1.12之前,Veracrypt卷的安全性仅基于密码强度,因为Veracrypt使用了固定数量的迭代。随着PIM的引入,Veracrypt具有基于耦合(密码,PIM)的卷的二维安全空间。这为调整所需的安全级别提供更多灵活性,同时还控制安装/引导操作的性能。
毋庸置疑,Veracrypt不存储磁盘标题中的哈希数量。如果用户指定非标准PIM值,则已经缓慢的攻击开始崩溃。现在,除了尝试75个哈希函数和加密算法的组合之外,您必须尝试所有合理的PIM值。通过所有这些不确定性,只验证单个密码可能需要几秒到几分钟。显然,这条规定了蛮力攻击完全,强调可以从用户其他密码列表中编译的小型目标词典的重要性。
Veracrypt的唯一弱点以及除了使用Apple T2芯片加密的磁盘除磁盘之外的所有其他Crypto容器都是在飞行的加密密钥(OTF键)。在安装加密的磁盘时,二进制,对称加密密钥始终存储在计算机的易失性存储器中。这是通过设计:需要加密密钥,以便加密工具读写加密数据。修复此弱点将Apple成为专用安全处理器,T2芯片在内部处理加密而不泄露加密密钥到计算机的RAM。由于Veracrypt没有(并且不能)使用T2,因此加密密钥实际上存储在计算机的RAM中。通过提取这些密钥,审查员可以立即载入或解密加密磁盘,而无需运行密码攻击并完全绕过相关的复杂性。
直到最近,提取Veracrypt OTF加密密钥很简单。转储RAM映像在安装加密磁盘的计算机上,将内存转储带到您自己的计算机上,启动ElComsoft法医磁盘解密器并处理转储。在计数分钟(或者如果主计算机有很多RAM),您将拥有发现和提取的键。然后,EFDD可以使用提取的OTF加密密钥安装或解密磁盘。
返回2019年,Veracrypt 1.24实现了一种用于将OTF加密密钥存储在RAM中的新机制,这使得OTF加密键的提取更加困难。 ElComsoft法证磁盘解密器2.18成为市场上唯一的法医工具,用于从所有版本的Veracrypt中提取所有类型的受保护的OTF加密密钥,包括当前1.24更新7。
如果在加密的磁盘安装时,如果安装计算机的易失性内存,则可以使用Elcomsoft法官磁盘解密器来分析存储器映像,检测和提取解密密钥。然后,您可以使用这些键具有Elcomsoft Forensic Discryptor解密卷或安装它。
要捕获计算机RAM的图像,请在当前安装Veracrypt磁盘的计算机上运行EFDD。此工具将调用UAC提示(您必须具有管理权限)。内存转储将保存到提取过程中指定的路径。以下要求适用:
您必须以具有管理权限的用户身份登录以捕获转储。
您可以使用可插拔外部存储介质来启动该工具。确保存储介质具有足够的空间(大于计算机中安装的RAM的数量)。存储介质必须使用NTFS或EXFAT格式化。 FAT32对文件大小有4GB限制,小于大多数现代计算机安装的RAM数量;即使计算机只有4GB的RAM,您也可能会获得写入错误。
要开始,请运行EFDD并从主窗口中选择“转储物理内存”。点击下一步。
指定存储内存转储的路径,然后单击“下一步”。提取过程将开始。
注意:要发现OTFE键,必须捕获RAM映像专门捕获ELComsoft Forensic Discryptor 2.18或更新。使用第三方工具生成的内存转储不能用于搜索加密/混淆的OTFE键。但是,您可以扫描由Veracrypt的版本播种的oTFE键扫描第三方RAM图像。
搜索OTF加密密钥可能是耗时的,特别是对于较新版本的Veracrypt。除Veracrypt以外的容器将加速搜索。
发现键后,将显示它们。您现在可以将它们保存到文件中。您可以将不同类型的多个键保存到单个文件中。
指定Crypto容器的类型,使用解密密钥选择文件,然后单击“下一步”。
如果已定位加密密钥,则该工具将提示您完成完全解密(创建可以使用第三方工具安装或分析的原始图像)或将卷安装到当前系统中。安装是通过IMDISK虚拟磁盘驱动程序实现的(使用Elcomsoft Forensic Discryptor安装)实现。通常,您无需更改任何设置,只需按Mount按钮即可:
如您所见,此方法方便且高效。您是否可以使用它完全取决于从计算机的RAM图像获取解密密钥的可能性。
请注意,密钥搜索可能需要一段时间。我们的测试计算机与32GB RAM花了大约40分钟才能完成所有变量(加密和散列)未知的搜索。您可以通过指定加密容器的类型和除了TrueCrypt / Veracrypt以外的容器来显着减少此时间。
不时,您可能会在Elcomsoft法证磁盘解密器将花费大量时间分析捕获的RAM图像时遇到情况,并且无论您指定的扫描设置如何,都无法发现加密密钥。
如果发生这种情况,请验证用户的Veracrypt安装未配置为加密存储在RAM中的密钥和密码。要检查此选项,请打开Veracrypt设置 - 首选项 - 更多设置 - 性能/驱动程序配置,并选中选中存储在RAM框中的密钥和密码的激活加密。
如果选择了此选项,则EFDD将无法找到加密密钥。请注意,禁用此设置需要重启,因此此操作的点丢失,因为加密的容器将在重新启动后被锁定/卸载。
根据Mounir Idrassi,“RAM加密机制有用两个目的:添加一个防寒引导攻击的保护,并添加一个混淆层,使得从内存转储恢复加密主键,即实时转储或离线转储更难以(没有它,从内存转储定位和提取主键相对容易)。“ (我们强烈建议阅读Mounir的整个帖子,因为它包含了关于如何实现该保护的重要细节)。
如您所知,突破Veracrypt非常复杂。 Veracrypt呈现了我们遇到的最强大的加密选项之一。即使是一千台电脑或强大的亚马逊EC1实例,具有顶级GPU的实例可能会花费数百年来打破强密码。提取和使用OTFE键保持少数可用方法之一,用于切换加密容器。然而,这种方法具有许多限制。
其中一个最受限制的限制是要求在安装Veracrypt磁盘期间获得对计算机的物理访问:仅在这种情况下,加密密钥在RAM中可用。该计算机不得锁定,身份验证的用户会话必须具有管理员的权限(您需要它们以获取内存转储)。最后,不得使用Veracrypt中的内存加密选项。在光明的一面,加密和散列算法的选择无关紧要,以及PIM号。
我们同意这种情况与这种因素组合的情景并不是很常见,但我们的客户在成功使用这种确切的方法时继续报告成功的案例,以便从儿童剥削图像获取药物销售的关键证据。多年来,我们支持此工作流程多年来,多年来,现在我们拥有它的Veracrypt,犯罪世界中最常用的磁盘加密包之一。