Sie können Ihre Daten unter anderem durch Verschlüsselung schützen. Sie können entweder einzelne Dateien verschlüsseln, einen Container zum Verschieben von Dateien erstellen oder eine Partition oder Festplatte verschlüsseln. Der Hauptvorteil der Verschlüsselung besteht darin, dass ein Schlüssel, normalerweise ein Kennwort, für den Zugriff auf die Daten erforderlich ist. Eine grundlegende Form der Verschlüsselung ist, wenn Sie eine ZIP-Datei mit einem Kennwort schützen, dass eine erweiterte Verschlüsselung das gesamte System einschließlich der Betriebssystempartition vor nicht autorisierten Benutzern schützen kann.
Während es wichtig ist, während des Setups ein sicheres Passwort zu wählen, um zu verhindern, dass Dritte das Passwort erfolgreich erraten oder erzwingen, ist es wichtig zu beachten, dass es andere Möglichkeiten gibt, auf die Daten zuzugreifen.
Elcomsoft hat gerade sein Forensic Disk Decryptor-Tool veröffentlicht. Das Unternehmen gibt an, dass es die auf PGP-, Bitlocker- und TrueCrypt-Datenträgern und -Containern gespeicherten Informationen entschlüsseln kann. Es muss beachtet werden, dass ein lokaler Zugriff auf das System erforderlich ist, damit eine der vom Programm verwendeten Methoden funktioniert. Verschlüsselungsschlüssel können auf drei Arten erworben werden:
- Durch Analysieren der Ruhezustandsdatei
- Durch Analysieren einer Speicherabbilddatei
- Durch Ausführen eines FireWire-Angriffs
Der Verschlüsselungsschlüssel kann nur aus der Ruhezustandsdatei oder dem Speicherabbild extrahiert werden, wenn der Container oder die Festplatte vom Benutzer bereitgestellt wurde. Wenn Sie die Speicherabbilddatei oder die Ruhezustandsdatei erhalten haben, können Sie die Schlüsselsuche einfach und jederzeit starten. Beachten Sie, dass Sie dabei die richtige Partition oder den richtigen verschlüsselten Container auswählen müssen.
Wenn Sie keinen Zugriff auf eine Ruhezustandsdatei haben, können Sie mit dem Windows Memory Toolkit problemlos einen Speicherauszug erstellen. Laden Sie einfach die kostenlose Community Edition herunter und führen Sie die folgenden Befehle aus:
- Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten. Tippen Sie dazu auf die Windows-Taste, geben Sie cmd ein, klicken Sie mit der rechten Maustaste auf das Ergebnis und wählen Sie die Ausführung als Administrator aus.
- Navigieren Sie zu dem Verzeichnis, in das Sie das Speicherauszugstool extrahiert haben.
- Führen Sie den Befehl win64dd / m 0 / r /fx:\dump\mem.bin aus
- Wenn Sie ein 32-Bit-Betriebssystem verwenden, ersetzen Sie win64dd durch win32dd. Möglicherweise müssen Sie auch den Pfad am Ende ändern. Beachten Sie, dass die Datei so groß ist wie der auf dem Computer installierte Speicher.
Führen Sie anschließend das forensische Tool aus und wählen Sie die Option zur Schlüsselextraktion aus. Zeigen Sie auf die erstellte Speicherabbilddatei und warten Sie, bis sie verarbeitet wurde. Anschließend sollte das Programm die Tasten anzeigen, die Ihnen angezeigt werden.
Urteil
Der Forensic Disk Decryptor von Elcomsoft funktioniert gut, wenn Sie eine Speicherabbild- oder Ruhezustandsdatei in den Händen halten können. Alle Angriffsformen erfordern lokalen Zugriff auf das System. Es kann ein nützliches Tool sein, wenn Sie den Hauptschlüssel vergessen haben und dringend Zugriff auf Ihre Daten benötigen. Obwohl es ziemlich teuer ist und 299 Euro kostet, ist es wahrscheinlich Ihre beste Hoffnung, den Schlüssel wiederzugewinnen, vorausgesetzt, Sie verwenden den Ruhezustand oder verfügen über eine Speicherabbilddatei, die Sie erstellt haben, als der Container oder die Festplatte im System bereitgestellt wurden. Führen Sie vor dem Kauf die Testversion aus, um festzustellen, ob die Schlüssel erkannt werden.
Sie können die Erstellung einer Ruhezustandsdatei deaktivieren, um Ihr System vor solchen Angriffen zu schützen. Sie müssen zwar sicherstellen, dass niemand eine Speicherabbilddatei erstellen oder das System mit einem Firewire-Angriff angreifen kann, es wird jedoch sichergestellt, dass niemand die Informationen extrahieren kann, wenn der PC nicht gestartet wird.
