Существует ли какое-либо полное шифрование диска, которое не имеет следов судебной экспертизы? Любой эффективный метод?

2462
desperado

Я тестировал целый ряд полных шифрований диска, но все еще новичок в компьютерной криминалистике. Тем не менее, я полностью осведомлен о ложных / скрытых ОС и атаках с помощью «холодной загрузки»

Даже Truecrypt и Bestcrypt содержат следы в заголовке, загрузчике или MBR. Таким образом, это вызовет подозрения и усложнит вам задачу, например, заставит вас ввести пароль и так далее. Некоторые люди пытались удалить или изменить следы, но в результате получили поврежденный зашифрованный раздел / том.

Есть ли эффективный метод?

Как ФБР узнало, что подозреваемые используют Труекрипт?

Изменить строки загрузчика TrueCrypt Encryption

1
[Релевантные.] (Http://xkcd.com/538/) Hello71 13 лет назад 0
Также [связано] (http://superuser.com/questions/164162/is-truecrypt-truly-safe). Hello71 13 лет назад 0

2 ответа на вопрос

4
Moab

http://www.truecrypt.org/docs/?s=plausible-deniability

До дешифрования раздел / устройство TrueCrypt, по-видимому, состоит из не более чем случайных данных (они не содержат никаких «подписей»). Следовательно, невозможно доказать, что раздел или устройство является томом TrueCrypt или что он зашифрован (при условии, что соблюдаются требования и меры безопасности, перечисленные в главе «Требования безопасности и меры предосторожности»).

При форматировании раздела жесткого диска как тома TrueCrypt (или шифровании раздела на месте) таблица разделов (включая тип раздела) никогда не изменяется (никакие TrueCrypt «подпись» или «ID» не записываются в таблицу разделов ).

Существуют методы поиска файлов или устройств, содержащих случайные данные (например, тома TrueCrypt). Обратите внимание, однако, что это никоим образом не должно влиять на вероятное отрицание. Злоумышленник по-прежнему не сможет доказать, что раздел / устройство является томом TrueCrypt или что файл, раздел или устройство содержит скрытый том TrueCrypt (при условии, что вы соблюдаете требования и меры безопасности, перечисленные в главе «Требования безопасности» и Меры предосторожности и в подразделе «Требования безопасности и меры предосторожности, касающиеся скрытых томов»).

Помимо изобретения невидимого жесткого диска, это так же хорошо, как и получается.

Согласовано. В зашифрованный раздел TrueCrypt можно встроить зашифрованный раздел, тем самым имея «поддельный» внешний раздел с фальшивыми данными, чтобы исключить любой судебный анализ. 13 лет назад 0
No offense intended here, I'm a Truecrypt fan too. I like to bring up some articles regarding my queries: How did FBI know the suspects were using Truecrypt? http://news.techworld.com/security/3228701/fbi-hackers-fail-to-crack-truecrypt/?intcmp=ros-md-acc-p-nws Modify TrueCrypt Encryption Boot Loader Strings http://www.anti-forensics.com/modify-truecrypt-encryption-boot-loader-strings desperado 13 лет назад 0
Разве тот факт, что он запрашивает пароль при загрузке с жесткого диска, зашифрованного Truecrypt, не говорит о том, что кто-то использует шифрование диска? emgee 13 лет назад 0
+1 за невидимый жесткий диск. Конечно, мы все знаем, что безопасность через неизвестность - плохая идея ... skub 13 лет назад 0
@emgee: я верю, что это можно изменить. Hello71 13 лет назад 0
@Moab: это относится только к индивидуально зашифрованным файлам или разделам. Загрузчик TrueCrypt по-прежнему содержит сигнатуру, которую можно обнаружить. Hello71 13 лет назад 0
@Hello71, then go with the invisible hard drive. ;-> Granted Truecrypt makes no mention of the modified bootloader. Moab 13 лет назад 0
@desperado, that is because the FBI did not waterboard the Brazilian Banker. ;-> Moab 13 лет назад 0
emgee, с Truecrypt или Bestcrypt мы можем изменить сообщение перед загрузкой на что-нибудь вроде «Отсутствует операционная система» или даже пустое. desperado 13 лет назад 0
0
Jonas Heidelberg

Если вы говорите о внешнем жестком диске, содержащем том TrueCrypt, то, как указано в ответе Моаба, его нельзя отличить от диска, содержащего неформатированный раздел. Криминалисты в основном знали бы, что «это выглядит случайным образом, поэтому существует реальная вероятность того, что XX% будет зашифровано» ;-). Я бы лично предположил, что XX> 80.

Однако, если вы хотите, чтобы полная компьютерная система была загружаемой и зашифрованной, то это никак не может быть полностью невозможно обнаружить, поскольку она должна содержать компьютерный код, выполняющий алгоритм дешифрования где-то в незашифрованном виде; поэтому, если злоумышленник разберет загрузчик и любой код, который он вызывает, он / она неизбежно узнает, используется ли какое-либо шифрование!

Исключением может быть, если ваша система-приманка установлена ​​с обычным загрузчиком и вы получаете доступ к вашей системе TrueCrypt только с помощью Rescue Disk, который содержит загрузчик TrueCrypt Boot Loader. Конечно, вы не должны позволять злоумышленнику узнать, что у вас есть спасательный диск TrueCrypt, поэтому вы перенесли свою проблему только на меньшее, возможно, более легко скрываемое устройство хранения. Если вы хотите пойти еще дальше, вы каждый раз перезагружаете TrueCrypt, создаете аварийный диск для загрузки, а затем стираете его и все его следы ;-).

Похожие вопросы