VeraCrypt

Документация >> Требования безопасности и меры предосторожности >> Незашифрованные данные в ОЗУ

Незашифрованные данные в ОЗУ

Важно понимать, что VeraCrypt – это программа для шифрования данных только на дисках, но не в ОЗУ (оперативной памяти).
Не забывайте о том, что большинство программ не очищают область памяти (буферы), где они хранят незашифрованные файлы (или их части) при их загрузке из тома VeraCrypt. Это означает, что после того, как вы выйдете из такой программы, в памяти (в ОЗУ) могут оставаться незашифрованные данные, с которыми она работала, до момента, пока не будет выключен компьютер (а согласно некоторым исследованиям, даже некоторое время после отключения питания*). Также имейте в виду, что когда вы открываете хранящийся в томе VeraCrypt файл, например, в текстовом редакторе, а затем принудительно размонтируете этот том VeraCrypt, данный файл останется незашифрованным в области памяти (ОЗУ), используемой (занятой) текстовым редактором. Это также относится и к принудительному авторазмонтированию.
По сути, незашифрованные мастер-ключи также должны храниться в оперативной памяти. При размонтировании несистемного тома VeraCrypt стирает его мастер-ключи (хранящиеся в ОЗУ). При штатно выполненной перезагрузке (или нормальном завершении работы) компьютера все несистемные тома VeraCrypt автоматически размонтируются, и, соответственно, все хранящиеся в ОЗУ мастер-ключи удаляются драйвером VeraCrypt (за исключением мастер-ключей для системных разделов/дисков — см. ниже). Однако при внезапном отключении питания, при перезагрузке компьютера кнопкой Reset (а не штатно), или при зависании системы VeraCrypt, естественно, перестаёт работать и поэтому не может удалить ни какие-либо ключи, ни любые другие конфиденциальные данные. Более того, поскольку Microsoft не предоставляет соответствующего API для обработки гибернации и завершения работы, используемые для шифрования системы мастер-ключи не могут быть надёжно удалены (и не удаляются) из ОЗУ при переходе компьютера в состояние гибернации, завершении работы или перезагрузке.**
Начиная с версии 1.24, в VeraCrypt появился механизм шифрования мастер-ключей и кэшированных паролей в ОЗУ. Этот механизм шифрования ОЗУ необходимо активировать вручную в окне Настройки > Быстродействие и настройки драйвера > Шифровать ключи и пароли в ОЗУ. Шифрование оперативной памяти сопряжено со снижением производительности (5-15% в зависимости от скорости процессора), и оно отключает гибернацию Windows.
Кроме того, в VeraCrypt 1.24 и выше реализован дополнительный механизм безопасности при шифровании системы, который заставляет VeraCrypt стирать мастер-ключи из ОЗУ при подключении нового устройства к ПК. Этот дополнительный механизм активируется опцией в окне системных настроек.
Несмотря на то, что оба вышеперечисленных механизма обеспечивают надёжную защиту мастер-ключей и кэшированного пароля, пользователи всё равно должны принимать обычные меры предосторожности, связанные с сохранением конфиденциальных данных в оперативной памяти.
Подводя итог, заметим, что VeraCrypt не может и не гарантирует отсутствие в ОЗУ секретной информации (паролей, мастер-ключей или расшифрованных данных). Поэтому после каждого сеанса работы с томом VeraCrypt или в котором запущена зашифрованная операционная система, вы должны завершить работу компьютера (или, если файл гибернации у вас зашифрован, переведите компьютер в режим гибернации), а затем оставить его выключенным как минимум на несколько минут (чем дольше, тем лучше), прежде чем снова включить его. Это необходимо, чтобы очистить ОЗУ (см. также раздел Файл гибернации).

 

* Предположительно, в течение 1,5-35 секунд при нормальных рабочих температурах (26-44 °C) и до нескольких часов, если модули памяти охлаждаются (при работающем компьютере) до очень низких температур (например до -50 °C). У новых типов модулей памяти, как утверждается, гораздо более короткое время затухания (например, 1,5-2,5 секунды), чем у более старых типов (по состоянию на 2008 год).
** Прежде чем ключ может быть стёрт из оперативной памяти, должен быть размонтирован соответствующий том VeraCrypt. Для несистемных томов это не вызывает никаких проблем. Однако поскольку Microsoft в настоящее время не предоставляет какого-либо подходящего API для обработки заключительной фазы процесса завершения работы системы, файлы подкачки, расположенные на зашифрованных системных томах, которые размонтируются при завершении работы системы, всё еще могут содержать страницы памяти (включая части системных файлов Windows). Это может привести к ошибкам "синего экрана". Поэтому чтобы предотвратить ошибки "синего экрана", VeraCrypt не размонтирует зашифрованные системные тома и, следовательно, не может очистить мастер-ключи системных томов при выключении или перезагрузке системы.