Elcomsoft Forensic Disk Decryptor wurde aktualisiert, um das RAM-Imaging und das Extrahieren von On-the-Fly Schlüsseln in neueren Versionen von VeraCrypt, dem beliebtesten TrueCrуpt-Nachfolger, zu unterstützen. Die Schlüssel werden für alle Verschlüsselungs-Konfigurationen extrahiert.
Elcomsoft Forensic Disk Decryptor 2.18 bietet die Möglichkeit, die On-the-Fly-Schlüssel für die Verschlüsselung aus dem RAM von Computern zu extrahieren, auf denen die neuesten Versionen von VeraCrypt ausgeführt werden.
VeraCrypt ist der beliebteste Nachfolger von TrueCrypt, dem Open-Source-Tool zur Festplattenverschlüsselung. Im Vergleich zum Original bietet VeraCrypt viel mehr Anpassungs-Möglichkeiten. In diesem Update bietet Elcomsoft Forensic Disk Decryptor die Möglichkeit, in neueren Versionen von VeraCrypt die On-the-Fly-Schlüssel aus Speicherabbildern zu extrahieren.
Diese On-the-Fly-Schlüssel sind die einzige Schwäche von VeraCrypt, sodass Ermittler auf verschlüsselte Datenträger zugreifen können, ohne das ursprüngliche Klartext-Passwort wiederherzustellen. Der binäre symmetrische Schlüssel für die Verschlüsselung wird jederzeit im flüchtigen Speicher des Computers gespeichert, während die verschlüsselte Festplatte gemountet wird. Durch Extrahieren dieser Schlüssel können Prüfer verschlüsselte Datenträger sofort bereitstellen oder entschlüsseln, ohne Passwort-Angriffe auszuführen und die damit verbundene Komplexität insgesamt zu umgehen.
Bis vor kurzem war das Extrahieren von VeraCrypt OTF-Schlüsseln noch unkompliziert. Die neuesten VeraCrypt-Updates haben die Art und Weise geändert, wie die Schlüssel für die Verschlüsselung im RAM behandelt werden, was das Extrahieren dieser Schlüssel äußerst schwierig macht. Elcomsoft Forensic Disk Decryptor 2.18 bietet Unterstützung für diese Schlüssel, die in allen Versionen von VeraCrypt gespeichert sind, einschließlich der aktuellen Version 1.24, Update 7. Beachten Sie, dass EFDD 2.18 zum Analysieren und Erfassen von Speicherabbildern verwendet werden muss. RAM-Dumps, die mit Tools von Drittanbietern oder älteren Versionen von EFDD erstellt wurden, ermöglichen es nicht, die für die Verschlüsselung verwendeten Schlüssel zu ermitteln, die in neueren Versionen von VeraCrypt gespeichert sind.