Mit einem wichtigen Update für die hauseigene Software Forensic Disk Decryptor hat ElcomSoft ein forensisches Tool zum Extrahieren von Informationen aus verschlüsselten Laufwerken vorgestellt. Die neue Version soll das Toolkit zu einer Komplettlösung für den Zugriff auf verschlüsselte Volumes von FileVault 2, PGP, BitLocker und TrueCrypt machen.

Das Update ermögliche es der Software, verschlüsselte Laufwerke zu mounten oder mithilfe von Klartextpasswörtern, Escrow-Schlüsseln oder kryptografischen Schlüsseln zu dechiffrieren, die aus dem Speicher des Computer extrahiert wurden. Darüber hinaus soll die Software ein von Microsoft signiertes Zero-Level-Memory-Dumping-Tool umfassen, mit dem Experten die Daten aus dem Arbeitsspeicher darstellen können.

Dadurch, so ElcomSoft, ist das Tool im Rahmen einer strafrechtlich relevanten Untersuchung hilfreich. Der Forensic Disk Decryptor stellt nach Herstellerangaben die Daten in Echtzeit bereit und bietet somit einen sofortigen Zugriff auf mögliche Beweise. Zudem bestehe bei Bedarf die Möglichkeit, den Passwort-Hash aus dem verschlüsselten Volume zu extrahieren, um das Passwort mithilfe der hauseigenen Lösung Distributed Password Recovery wiederherzustellen. Dabei führe das Tool einen Angriff auf ein lokales Netzwerk aus.

In früheren Versionen war das Toolkit nach Herstellerangaben in seinen Funktionen auf das Mounten oder Entschlüsseln von Laufwerken mit binären kryptografischen Schlüsseln beschränkt, die aus dem Speicherabbild oder der Ruhezustandsdatei des Computers extrahiert wurden. Mit der neuen Version Forensic Disk Decryptor 2.0 sei die Lösung nun in der Lage, verschlüsselte Laufwerke zu mounten oder eine vollständige Entschlüsselung für die Offline-Analyse durchzuführen, indem es Klartextpasswörter, Escrow- oder Wiederherstellungsschlüssel sowie die aus dem Speicherabbild des Computers extrahierten Binärschlüssel verwendet.

Via ElcomSoft Phone Breaker sei es außerdem möglich, FileVault-2-Wiederherstellungssschlüssel aus der iCloud zu extrahieren, während BitLocker-Wiederherstellungsschlüssel im Active Directory oder im Microsoft-Konto des Benutzers zur Verfügung stehen.

Außerdem ist der Forensic Disk Decryptor in der Lage, das Speicherbild des Computers zu scannen, um nach kryptografischen Schlüsseln zu suchen, die für den Zugriff auf verschlüsselte Container verwendet werden, so der Hersteller. Durch das Extrahieren und Verwenden dieser Schlüssel könne das Tool den Inhalt des Laufwerkes entschlüsseln, ohne dass ein langwieriger Angriff auf das ursprüngliche Klartextpasswort nötig ist.

ElcomSoft liefert die Version 2.0 des Forensic Disk Decryptor mit einem Forensic-Speicher-Imaging-Tool aus, um dadurch ein möglichst vollständiges Speicherabbild aus dem Arbeitsspeicher zu erhalten. Der hauseigene RAM-Imaging-Treiber arbeite im Kernel-Modus und trage eine digitale Signatur von Microsoft, wodurch der Treiber vollständig kompatibel zu allen 32-Bit- und 64-Bit-Versionen von Windows 7 bis zum neuesten Windows 10 Fall Creators Update sein soll.

Mit der neuen Version seiner Komplettlösung sei die Software außerdem in der Lage, eine vollautomatische Erkennung von verschlüsselten Volumes und Verschlüsselungseinstellungen, einschließlich TrueCrypt, zu erstellen. Anwender sollen hierzu lediglich den Pfad zum verschlüsselten Container oder Disk-Image angeben müssen, damit der Forensic Disk Decryptor verschlüsselte Laufwerke und Details sowie die jeweiligen Verschlüsselungsalgorithmen erkennt und anzeigt.

Elcomsoft Forensic Disk Decryptor ist ab sofort für 599 Euro verfügbar. Weitere Informationen finden sich unter www.elcomsoft.de.

Timo Scheibe ist Redakteur bei der LANline.