Cosa posso fare con le chiavi AES private a 128 bit?

2

Per i miei studi, sono tenuto a condurre un'indagine su un'immagine di VMWare criminale fittizia. L'immagine è sospettata di partecipare agli attacchi DDoS e ad altre attività illegali. Su questo PC è installato TrueCrypt. Insieme a TrueCrypt, l'immagine ha Mozilla Thunderbird installato con un modulo di sicurezza OpenPGP.

Ho creato una memoria raw.dmp della memoria RAM nell'immagine per eseguire l'analisi. Usando aeskeyfind ho ottenuto diversi risultati.

michael@cf15:~/Documents/Volatility$ aeskeyfind memory.dmp b4ce75c857163e668818d0d76c46bad2 ccf865429e42144a9dce839b036c3f7c 51c35f7f0b79e7d1e6d5345d2a291ac8 Keyfind progress: 100%

Questo comando mi mostra che ci sono 3 chiavi AES presenti nella RAM. Usando -v (modalità dettagliata) posso vedere che sono tutti a 128 bit.

Che cosa può fare esattamente qualcuno quando trova queste chiavi private non cifrate sul disco? Poiché OpenPGP richiede una chiave RSA 2048, penso che le chiavi siano connesse ai volumi TrueCrypt nascosti.

Un utente malintenzionato può utilizzare questi tasti per accedere ai volumi senza avere la passphrase appropriata?

    
posta MichaelP 01.04.2014 - 14:41
fonte

2 risposte

2

Puoi provare a decodificare le cose usando queste chiavi:)

Prima di tutto proverei a decifrare il disco rigido (TrueCrypt) usando i tasti.

Per quanto riguarda OpenPGP, dovresti sapere che la chiave RSA a 2048 bit viene utilizzata solo per decodificare una chiave simmetrica, che può essere utilizzata per decrittografare il messaggio. È una questione di prestazioni. Puoi provare a decifrare il messaggio con uno dei tasti sopra.

    
risposta data 01.04.2014 - 16:27
fonte
0

Sembra che tu stia chiedendo a come utilizzare la chiave per decrittografare il volume di Truecrypt con la chiave.

Questo dovrebbe indirizzarti nella giusta direzione.

    
risposta data 01.04.2014 - 19:11
fonte

Leggi altre domande sui tag