Неделю назад российская компания «Элкомсофт» выпустила новую программу для криминалистической экспертизы. Утилита Elcomsoft Forensic Disk Decryptor позволяет расшифровать файлы из криптоконтейнеров BitLocker, PGP и TrueCrypt. Программа извлекает ключи шифрования тремя методами, в том числе из дампа оперативной памяти и файла гибернации. В обоих случаях зашифрованный раздел должен быть подключен в момент, когда снимается дамп памяти или когда система уходит в спящий режим.
Брюс Шнайер довольно язвительно прокомментировал анонс Elcomsoft Forensic Disk Decryptor стоимостью более 380 долларов США. Он говорит, что здесь нет ничего нового. Ещё в январе 2007 года он рассказывал о программе от компании AccessData, которая умела делать то же самое, а ведь это было шесть лет назад.
Речь идёт о программе Forensic Toolkit (FTK). Среди всего прочего, она осуществляет тотальное сканирование всех файлов на диске, пытаясь найти любые печатные символы. Она просматривает документы, реестр, почтовые сообщения, своп-файлы, удалённые файлы и т.д. Затем из этих обрывочных сведений составляется словарь, по которому запускается брутфорс пароля, и он в 50% случаев даёт успешный результат.
Как видим, программа FTK в каком-то смысле имеет даже более продвинутую функциональность, чем Elcomsoft Forensic Disk Decryptor. Она не извлечёт захэшированный пароль из дампа памяти или файла гибернации, но зато сканирует все остальные файлы на диске, что может быть ещё эффективнее. Она работает всё-таки по иному принципу, чем Elcomsoft Forensic Disk Decryptor, и уж тем более не поддерживает атаку по Firewire, как программа «Элкомсофта», но всё равно показывает хороший результат.
Надёжно защитить файлы становится всё сложнее — с этими словами Брюса Шнайера трудно не согласиться.