¿Riesgos de las claves de cifrado contenidas en un volcado de memoria después de un bloqueo?

1

Suponiendo un sistema cifrado de disco completo donde el almacenamiento no volátil está cifrado.

Mientras el sistema se está ejecutando, en caso de un fallo y volcado de memoria, por ejemplo. al conectar una unidad USB que causa un error IRQL_NOT_LESS_OR_EQUAL, ¿cuáles son los riesgos de que las claves de cifrado estén contenidas en ese archivo de volcado de memoria?

Como una variación, asuma un entorno en el que tenga un contenedor encriptado abierto y el sistema se bloquee en ese momento.

En cualquier escenario donde haya algo cifrado en el disco pero descifrado sobre la marcha mientras el sistema se está ejecutando, y se produce un bloqueo del sistema, ¿existe el riesgo de que los volcados de memoria contengan claves de cifrado o algo que los lleve?

Caso local :

El escenario anterior me acaba de ocurrir y he realizado un análisis local.

Abrí% SystemRoot% \ MEMORY.DMP con un editor hexadecimal, y busqué contraseñas o frases de contraseña pero no las encontré. Sin embargo, ¿es posible que todavía estén contenidos en otra forma o que haya algo que los lleve a descubrirlos?

    
pregunta Wadih M. 31.07.2016 - 20:26
fuente

2 respuestas

1

Absolutamente es posible que el volcado de memoria contenga claves. Si todos los programas siguen una buena práctica de programación (borrar las teclas inmediatamente después de su uso), se reduce la posibilidad, pero no hay nada que pueda hacer un programa al realizar el cifrado / descifrado en el software para que el 100% evite que las claves estén en la memoria. Después de todo, una clave debe estar en la memoria para realizar el cifrado / descifrado y, en el momento en que la clave se almacena, el sistema operativo falla, no hay nada que el programa pueda hacer al respecto en ese momento.

    
respondido por el Swashbuckler 31.07.2016 - 22:04
fuente
0

El riesgo sería mínimo si su volcado de memoria es un volcado de núcleo. Su código de error es un error lógico, no error de CPU o error de administración de memoria, por lo que el volcado de memoria solo incluye la memoria del kernel. (Pilas de kernel, contexto de cpu, mensaje de error, módulos cargados, etc.) Existe una posibilidad muy baja de que su frase de contraseña (generalmente encriptada) esté almacenada en la pila del kernel.

Por cierto, puedes analizar archivos .dmp con WinDbg.

    
respondido por el He WenYang 01.08.2016 - 05:31
fuente

Lea otras preguntas en las etiquetas