it security
it security
Bildquelle: maxxyustas

VeraCrypt: Schlüsselextraktion trotz RAM-Verschlüsselung

VeraCrypt erlaubt die Verschlüsselung der Festplattenkeys im RAM. ElcomSoft hat es nun geschafft die Keys daraus zu extrahieren.

VeraCrypt erlaubt seit der Version 1.24 aus Oktober 2020 die Verschlüsselung der Festplattenkeys im RAM. ElcomSoft hat es nun trotzdem geschafft, die Keys aus dem Arbeitsspeicher zu extrahieren.

Die Pressestelle von ElcomSoft lässt verlauten: „ElcomSoft knackt die neueste Version von VeraCrypt„, was natürlich reinster Clickbait ist! Die Schlüssel liegen im RAM und auch VeraCrypt muss jederzeit Zugriff darauf haben. Nur ElcomSofts Forensic Disk Decryptor kann die Keys jetzt auch automatisch extrahieren.

Welchem Zweck dient die RAM-Verschlüsselung?

Die RAM-Verschlüsselung verfolgt mehrere Ziele. Einmal sollen sogenannte Cold-Boot Attacken erschwert werden. Dabei bedient sich der Angreifer der Tatsache, dass Daten im RAM teilweise noch lesbar bleiben, auch wenn der Computer ausgeschaltet war. Je länger dies der Fall war, desto weniger Daten kann man aus dem Arbeitsspeicher wiederherstellen. Um die Wahrscheinlichkeit zu erhöhen, dass eine Cold-Boot Attacke fehlschlägt, bläht VeraCrypt den Schlüssel auf einen Megabyte auf. Weiterhin sollte der Schlüssel nicht im Klartext im RAM stehen. Ansonsten könnte man diese (bei eingeschaltetem Gerät) sehr leicht im Speicher identifizieren und extrahieren.

Wie funktioniert die RAM-Verschlüsselung von VeraCrypt?

  1. Der VeraCrypt Treiber versucht, beim Start von Windows 1 MiB Speicher zu reservieren, sollte das fehlschlagen, lediglich 8 KiB.
  2. Der Speicherbereich wird mit Zufallsdaten aus einen Zufallsgenerator auf Basis von ChaCha20 gefüllt.
  3. VeraCrypt generiert zwei 64-bit Zufallszahlen. (HashSeedMask und CipherIVMask)
  4. Die RAM-Verschlüsselung verwendet einen Schlüssel, der sich aus dem oben genannten Speicherbereich, den beiden oben erzeugten Zufallszahlen und weiteren Speicheradressen zusammensetzt.
  5. Die Ableitung des Schlüssels erfolgt mit Hilfe des nicht-kryptographische Hashalgorithmus t1ha2.
  6. VeraCrypt greift sehr häufig auf den Key zu. Zur Entschlüsselung wird ChaCha12 verwendet.
  7. Nachdem ein Datenträger eingebunden wurde, wird dessen Schlüssel wie beschrieben versteckt.
  8. Für jede Lese- und Schreibanforderung des Systems lädt der verschlüsselte Key aus dem Speicher und entschlüsselt diesen. Nach der Abarbeitung der Anforderung wird der Key umgehend gelöscht.

Die Speicherbereiche für den Key werden in einem Speicherbereich, der nur von Kernel oder Treibern gelesenen werden kann, abgelegt. VeraCrypt löscht den Schlüssel sofort beim Aushängen des Datenträgers. Auch beim Herunterfahren oder Neustart des System wird dieser aus dem Arbeitsspeicher entfernt. Sofern Du noch mehr Interesse an diesem Thema hast, findest Du im Diskussionsforum von VeraCrypt weitere Details.

Keine Sicherheitslücke, nur Marketing

ElcomSoft hat eine Lösung zur Extraktion des Keys gefunden. Das ist nicht sehr erstaunlich, da VeraCrypt Open-Source Software ist und damit jeder Entwickler nachvollziehen kann, wie VeraCrypt den Schlüssel ablegt. Cold-Boot Attacken sind damit trotzdem kaum möglich. Durch das Aufblähen des Schlüssels steigt die Wahrscheinlichkeit, dass Schlüsselteile dabei verloren gehen, enorm an. Ist der Schlüssel nicht da, kann ihn natürlich keiner Auslesen. Ist der Rechner eingeschaltet und die Festplatte entsperrt sieht das natürlich wieder anders aus. Daher gibt es hier keine nennenswerte Sicherheitslücke, nur einen Marketingstreich der Presseabteilung von ElcomSoft.

Der Forensiker Oleg Afonin des Softwareherstellers betitelt den „Angriff“ etwas weniger reißerisch: „Breaking VeraCrypt: Obtaining and Extracting On-The-Fly Encryption Keys„.

Tarnkappe.info

Über

honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.