BR-Linux.org

O Truecrypt é um popular utilitário gratuito de criptografia de disco multiplataforma e com código-fonte disponível, mas a confiança (ao menos de parte dos usuários bem informados) nele vem sofrendo alguns abalos recentemente, como vimos em “Truecrypt: muita gente usa, ninguém sabe quem criou, e o código-fonte disponível não basta para garantir contra a NSA”.

A afirmação mais recente (mas ainda não auditada por fonte independente) é que o pesquisador Michael Ligh expôs duas ferramentas que aplicam à busca na memória os mesmos métodos que o TrueCrypt usa para localizar as suas chaves, e assim conseguem identificar a chave completa de qualquer volume montado com o TrueCrypt, além de identificar qual o arquivo que corresponde à imagem de disco criptografada, quando estiver em uso o recurso de ofuscação do TrueCrypt.

Nos casos em que o TrueCrypt estiver sendo usado em computadores com Windows, o documento publicado por Michael expõe ainda um método que permite obter o conteúdo decodificado dos componentes de sistema do TrueCrypt e de arquivos criptografados que tenham sido abertos, por meio de uma busca no cache do próprio Windows: segundo ele, como a criptografia do TrueCrypt é transparente para o sistema operacional, seu conteúdo pode ser colocado no cache como qualquer outro arquivo.

A possibilidade desse tipo de ataque às chaves na RAM não é novidade: consta na documentação oficial e até já existiam ferramentas capazes de encontrar alguns dos tipos de chave suportados.

Mas dispor de uma ferramenta em Python que faz a busca completa e mostra todos os dados que permitem o acesso ao conteúdo criptografado é uma razão forte para ter bem mais atenção à segurança do acesso ao sistema que estiver rodando o TrueCrypt. E o autor diz que ela será disponibilizada ao público em geral em breve. (via volatility-labs.blogspot.com.br - “Volatility Labs: TrueCrypt Master Key Extraction And Volume Identification”)