¿Qué puedo hacer con las claves AES privadas de 128 bits?

2

Para mis estudios, debo realizar una investigación sobre una imagen de VMWare criminal ficticia. Se sospecha que la imagen participa en ataques DDoS y otras actividades ilegales. En esta PC TrueCrypt está instalado. Junto con TrueCrypt, la imagen tiene Mozilla Thunderbird instalado con un módulo de seguridad OpenPGP.

Hice un memory.dmp en bruto de la memoria RAM en la imagen para realizar el análisis. Usando aeskeyfind obtuve varios resultados.

  

michael @ cf15: ~ / Documents / Volatility $ aeskeyfind memory.dmp   b4ce75c857163e668818d0d76c46bad2   ccf865429e42144a9dce839b036c3f7c   51c35f7f0b79e7d1e6d5345d2a291ac8   Avance clave: 100%

Este comando me muestra que hay 3 teclas AES presentes en la RAM. Al usar -v (modo detallado) puedo ver que son todos de 128 bits.

¿Qué puede hacer exactamente alguien cuando se encuentran estas claves privadas sin cifrar en el disco? Como el OpenPGP solicita una clave RSA 2048, creo que las claves están conectadas a volúmenes ocultos de TrueCrypt.

¿Puede un atacante usar estas claves para obtener acceso a los volúmenes sin tener la frase de contraseña adecuada?

    
pregunta MichaelP 01.04.2014 - 14:41
fuente

2 respuestas

2

Puedes intentar descifrar cosas usando estas teclas :)

En primer lugar, intentaría descifrar el disco duro (TrueCrypt) usando las claves.

Con respecto a OpenPGP, debe saber que la clave RSA de 2048 bits solo se usa para descifrar una clave simétrica, que se puede usar para descifrar el mensaje. Es una cuestión de rendimiento. Puede intentar descifrar el mensaje con una de las claves anteriores.

    
respondido por el fr00tyl00p 01.04.2014 - 16:27
fuente
0

Parece que estás preguntando a cómo usar la clave para descifrar el volumen de Truecrypt con la clave.

Esto debería apuntarle en la dirección correcta.

    
respondido por el user2675345 01.04.2014 - 19:11
fuente

Lea otras preguntas en las etiquetas