Новая программа «Элкомсофта» расшифровывает криптоконтейеры BitLocker, PGP и TrueCryp

Новая программа «Элкомсофта» расшифровывает криптоконтейеры BitLocker, PGP и TrueCrypt



Компания «Элкомсофт» выпустила программу Elcomsoft Forensic Disk Decryptor, которая предназначена для криминалистической экспертизы криптоконтейнеров BitLocker, PGP и TrueCrypt. Поддерживаются как фиксированные, так и портативные носители, включая PGP в режиме шифрования всего диска, а также съёмные диски, защищённые с помощью BitLocker To Go. С помощью Elcomsoft Forensic Disk Decryptor можно как полностью расшифровать содержимое защищённого тома, так и работать в реальном времени с подключением зашифрованных томов и расшифровкой выбранных данных «на лету».

Программа извлекает ключи шифрования тремя методами:

1. Из дампа оперативной памяти. Все ключи извлекаются единовременно, даже если в системе присутствуют более, чем один криптоконтейнер. Дамп оперативной памяти может быть создан с помощью соответствующих криминалистических продуктов, например, MoonSols Windows Memory Toolkit. Зашифрованные тома в момент снятия слепка должны быть подключены; в противном случае ключ расшифровки извлечь не удастся. Подробное описание этой технологии (и полный список коммерческих и бесплатных программ см. здесь.

2. Анализ файла гибернации (исследуемый компьютер выключен). Защищённые тома должны быть подключены перед выключением компьютера. Если криптоконтейнер был размонтирован перед созданием файла гибернации, извлечь из него ключи будет невозможно.

3. Атакой через порт FireWire, если у вас не хватает прав для снятия дампа памяти или запуска программ на анализируемом компьютере. Для проведения атаки через порт FireWire требуется дополнительный компьютер с установленным бесплатным продуктом (например, Inception). Такая атака даёт практически стопроцентный результат, но опять же, зашифрованные тома должны быть подключены в момент анализа.



Если удалось извлечь ключи шифрования, то с их помощью расшифровка информации на носителе осуществляется в реальном времени — практически мгновенно.

В режиме работы в реальном времени доступ к данным предоставляется мгновенно. Криптоконтейнер монтируется в системе как новый диск, после чего можно извлечь данные с помощью стандартного «Проводника» или любого другого инструмента для работы с файлами. Информация при этом расшифровывается «на лету», в процессе чтения данных.

Поддерживаемые операционные системы: Windows 7 (32 bit), Windows 7 (64 bit), Windows Server 2003/2008, Windows Vista (32 bit), Windows Vista (64 bit)

Скачать бесплатную пробную версию Elcomsoft Forensic Disk Decryptor можно здесь, лицензионная версия EFDD 1.0 продаётся за 11995 руб.

20.12.2012
http://www.xakep.ru/post/59849/​

 

трындец =\

 

это получается криптоконтейнеры теперь допи*ды?

 

Не вижу никакого трындеца, при наличии ключа расшифровки это можно было сделать и раньше. Фактически, все методы требуют подключения зашифрованных томов, при таком раскладе и никакие программы не нужны, бери и читай что тебе нужно. [:||||:].

 

Верно.

 

Тогда какой смысл этой проги ?

 

Ну раньше нужно было наличия мозгов и хоть какого-то понимая в вопросе, а теперь "нажми на кнопку получишь результат".

 

не втыкайте автомонтирование томов (не удобно, а чо делать? я так 4 года живу, ввожу пароль каждый божий день). По поводу хэша его еще нужно расшифровать. Тут зависит от сложности пароля.

 

Я в опере каждый раз при включении ввожу пароль от ящика и ниче, привык. Уже вслепую могу пароль набивать.

 

Ничего нового.
Обычная заказуха в редакцию, для того чтобы перед кем-то отчитаться мол работа не стоит на месте.
По факту никаких продвижений и ничего нового.
У нормального чела, если есть что прятать в компе, все дырки отключены: USB, фаерваре и т.п. и диск полностью закриптован или вообще подгружается с скрытого раздела. Тут вещ.док - это только внешние логи, провайдеров, сайтов и.т.п.

Либо рассчитывают, что кто-то прочитает заголовок статьи не вникая в суть статьи и вообще перестанет пользоваться криптом.

Я вот все больше прихожу к мнению, что даже заголовки читать нельзя, потому что от них никакого толку. Только время отнимает дорогая редакция у действительно полезных людей.

 

баян гармонистый....это еще кто то писданул в 2010 году....да 256-ой ключ уже давно не торт

 

Необходим физический доступ к компьютеру, что подразумевает насильственный захват объекта, его обездвиживание, а в последующем - подключение к его компьютеру оборудования с этим софтом и копирование ключей из оперативной памяти. Если объект препятствует захвату, либо у него установлено оборудование для экстренного уничтожения дисков (работающее по таймеру), на которых находятся криптоконтейнеры, толку от этой софтины мало.

Не учли, что пользователь может выключить компьютер до их прихода, демонтировав криптоконтейнеры и "затерев" всю свободную память.

Лечится полным отключением файла гибернации и последующей "затиркой" диска без возможности восстановления. А еще лучше отключать файл гибернации сразу же после установки операционной системы.

Спасибо, кэп.

У меня нет FireWire. Это, стало быть, не так плохо?

 

стоп, DCrypt и Twofish 512 стало быть не хавает?
значит софт гамно, хардверные дамперы снимают дамп памяти даже с выключенного компа
хех, я спокоен.

 

А что если просто жмакнуть кнопку ребута? Вроде проверка памяти должна уничтожить все данные. Так ли это?

 

ну да, это основной способ

 

А какие есть еще?

 

крышку заранее с системника снимаешь, откручиваешь болты на ЖД, ложешь его чтобы можно было рукой дотянуться
я уже 2 раза его в окно выкидывал шучу

 

Такого не существует.

Название дампера и описание в студию, если это не твой лично выдуманный "супер-засекреченный проект", о котором ты услышал от бабулек на скамейке во дворе.

Вот ты и нaeбнешься со своим

так что потом из системного блока твоего компьютера изымут модули памяти, охладят их и потом восстановят, а ты будешь думать и верить в том что у тебя все стерлось.

Не понимаю для чего до него руками дотягиваться, не такие оперативники и придурки чтобы заходить к тебе в квартиру без видеокамеры, которая как раз зафиксирует то как ты усердно долбаешь свой винчестер и тебе, друг мой, впаяют попытку уничтожения доказательств.

P.S. Я знаю способ, но говорить не буду. Возможно скажу в джаббере.

P.P.S. И еще не люблю когда система создает противодействующие дискуссии.

 

за унитожение улик не впаяют, если не докажут, что там были улики твоих корыстных действий) а тут доказать будет уже невозможно) так что была камареа - не была - ничего не повесят.

а вообще, шифруйтесь, ребята. шифруйтесь по полной.

 

да, пардон, Twofish 256, модуль в DCrypt называется HMAC-SHA-512

ты гонишь? про этот девайс я узнал у ******** об активных методах восстановления пароля при полнодисковом шифровании
он действительно существует, нужно об этом знать

нечего не нужно охлаждать ))) кидают на свободный PCI слот и включают питание, все )

поделись notnulln[email protected]