Gebruikers van encryptiesoftware VeraCrypt doen er verstandig aan om RAM-encryptie in te schakelen en hun computer niet onbeheerd achter te laten. Anders is het mogelijk om de encryptiesleutels uit het geheugen uit te lezen. Aanbieder van forensische software Elcomsoft kwam vorige week met een blogposting persbericht genaamd "Breaking VeraCrypt: Obtaining and Extracting On-The-Fly Encryption Keys".

In het bericht laat het bedrijf weten dat het een nieuwe versie van de Forensic Disk Decryptor heeft uitgebracht waarmee het naar eigen zeggen de enige is die alle soorten encryptiesleutels van het programma VeraCrypt uit het geheugen van computers kan uitlezen. VeraCrypt is een opensource-encryptieprogramma voor Linux, macOS en Windows gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt.

In 2019 verscheen VeraCrypt 1.24 die RAM-encryptie voor encryptiesleutels en wachtwoorden introduceerde. Dit moet voorkomen dat ze bijvoorbeeld via coldbootaanvallen uit het werkgeheugen worden gelezen. Elcomsoft meldt nu dat het de encryptiesleutels kan uitlezen, ook van de laatste Windowsversie van VeraCrypt, versie 1.24 Update 7.

Er zijn echter verschillende voorwaarden om dit te doen. De methode werkt alleen in het geval van versleutelde VeraCrypt-containers. Daarnaast moet er fysieke toegang tot de machine zijn, moet de schijf zijn gemount, mag de computer niet zijn vergrendeld en moet de ingelogde gebruiker beheerdersrechten hebben. Als laatste mag de optie voor RAM-encryptie niet in VeraCrypt zijn ingeschakeld.

Elcomsoft erkent dat een situatie waarin aan al deze voorwaarden wordt voldaan niet vaak voorkomt. Toch stelt het bedrijf dat opsporingsdiensten nog steeds gevallen tegenkomen waarbij ze op deze manier toegang tot bewijsmateriaal kunnen krijgen.