Questa non è una chiave TrueCrypt. Puoi vedere che la chiave stessa è lunga 128 bit e il numero di tasti rotondi è 11, che è coerente con AES a 128 bit. TrueCrypt utilizza chiavi a 256 bit che, per AES, utilizza 15 tasti rotondi e ha chiavi molto più grandi a 256 bit. Qualunque sia la chiave, non è venuto da TrueCrypt. Supponiamo che tu abbia ricevuto la chiave TrueCrypt dalla memoria, e avevi in mano la chiave master completa a 256-bit. Quindi, cosa si potrebbe fare con questo?
Could he eventually crack the key to gain a plaintext password
TrueCrypt e la nuova VeraCrypt non usano la tua password direttamente come chiave. Invece, viene passato attraverso una funzione molto lenta chiamata PBKDF2 che converte la tua password ASCII in una chiave raw, binary. Tuttavia, TrueCrypt non utilizza nemmeno questa chiave raw per crittografare il volume. Invece, una singola chiave master (generata a caso al momento della creazione del volume) viene crittografata con quella chiave e questa chiave master crittografata viene memorizzata sul disco. Quando si inserisce la password, questa viene passata attraverso PBKDF2 e la chiave risultante viene utilizzata per decrittografare la chiave master. Questa chiave principale è ciò che viene memorizzato nella cache e che è disponibile per un utente malintenzionato che è in grado di recuperare il contenuto della memoria.
Anche se ciò significa che un utente malintenzionato non può ricavare la tua password direttamente dalla chiave master memorizzata nella cache, non significa che l'autore dell'attacco non può attaccare la tua password in altri modi. Se ha accesso all'intestazione del volume, può indovinare le password candidate e vedere quale sblocca l'unità. Mentre questo può essere automatizzato, la funzione lenta di PBKDF2 rende questo noioso per tutte tranne le password più deboli.
or could he use this key as a key file to open the volume?
Ora che poteva farlo. Se ha accesso a questa chiave, sarà assolutamente in grado di accedere al volume e decrittografare tutti i dati contenuti al suo interno. Naturalmente, poiché non è in grado di invertire facilmente la chiave nella password in chiaro, non è stato possibile riutilizzare la propria password su altri volumi TrueCrypt o in qualsiasi altro luogo in cui è stata utilizzata la password, almeno non senza averla violata con successo.
Se si sta tentando di recuperare dati specifici dal software di crittografia del disco, una semplice ricerca ingenua di chiavi di crittografia in memoria potrebbe non essere sufficiente. Ciò è dovuto al fatto che molti software di crittografia del disco, inclusi TrueCrypt (ad eccezione delle versioni precedenti), VeraCrypt e LUKS, utilizzano una speciale modalità di crittografia chiamata XTS. Questa modalità di crittografia richiede in realtà due chiavi, chiamate chiave principale e tasto di modifica. Per decodificare il disco, è necessario ottenere entrambi chiavi a 256-bit. La modalità XTS funziona così:
Entrambe le chiavi sono chiavi AES standard a 256 bit, ma entrambe sono assolutamente necessarie per decodificare il disco. Queste due chiavi derivano dalla chiave principale che è memorizzata sul disco in una forma crittografata come menzionato in precedenza. La chiave derivata direttamente dalla tua password è non archiviata in memoria, poiché viene utilizzata solo brevemente per decrittografare la chiave master e quindi scartata.