Existe alguma criptografia completa de disco lá fora que não tenha nenhum rastro forense? Qualquer método eficaz?

Question

Existe alguma criptografia completa de disco lá fora que não tenha nenhum rastro forense? Qualquer método eficaz?

#1 resposta do (4 votos)
#2 resposta do (0 votos)

1

Eu tenho testado um grande número de criptografias de disco, mas ainda novas em materiais forenses. Eu estou totalmente ciente do sistema operacional decoy / hidden e do ataque de inicialização a frio.

Mesmo Truecrypt e Bestcrypt contêm rastreios no cabeçalho, bootloader ou MBR. Assim, isso levantará suspeitas e o colocará em complicações, como forçá-lo a dar a senha e assim por diante. Algumas pessoas tentaram remover ou modificar os rastreios, mas acabaram com partição / volume criptografados danificados.

Existe algum método eficaz?

Como FBI sabe os suspeitos usando Truecrypt?

Modifique as seqüências do Carregador de Inicialização do TrueCrypt Encryption

por desperado 22.03.2011 / 01:43

2 respostas

PCs na mesma rede não podem se comunicar Software de bate-papo de texto, áudio e vídeo completamente aberto e criptografado [fechado]

score 4 · Answer 1

link

Until decrypted, a TrueCrypt partition/device appears to consist of nothing more than random data (it does not contain any kind of "signature"). Therefore, it should be impossible to prove that a partition or a device is a TrueCrypt volume or that it has been encrypted (provided that the security requirements and precautions listed in the chapter Security Requirements and Precautions are followed).

When formatting a hard disk partition as a TrueCrypt volume (or encrypting a partition in place), the partition table (including the partition type) is never modified (no TrueCrypt "signature" or "ID" is written to the partition table).

There are methods to find files or devices containing random data (such as TrueCrypt volumes). Note, however, that this should not affect plausible deniability in any way. The adversary still should not be able to prove that the partition/device is a TrueCrypt volume or that the file, partition, or device, contains a hidden TrueCrypt volume (provided that you follow the security requirements and precautions listed in the chapter Security Requirements and Precautions and in the subsection Security Requirements and Precautions Pertaining to Hidden Volumes).

Além de inventar um disco rígido invisível, isso é o melhor possível.

score 0 · Answer 2

Se você está falando de um disco rígido externo contendo um TrueCrypt Volume, então, como citado na resposta de Moab, isso não deve ser distinguível de uma unidade que contém uma partição não formatada. A perícia basicamente só saberia "parece aleatória, então há uma chance real de XX por cento de ser criptografada" ;-). Eu pessoalmente diria que XX > 80.

No entanto, se você quiser que um sistema de computador completo seja inicializável e criptografado , não há nenhuma maneira que possa ser completamente impossível de rastrear, ele precisa conter o código de computador que faz o algoritmo de descriptografia em algum lugar em forma não criptografada; Portanto, se o invasor desmontar o carregador de boot e qualquer código que ele chamar, ele / ela descobrirá, inevitavelmente, se alguma criptografia está sendo usada!

Uma exceção seria se você tivesse seu sistema decoy instalado com um carregador de inicialização normal e acessasse apenas seu sistema TrueCrypt usando o Rescue Disk , que contém o TrueCrypt Boot Loader. É claro que você não deve permitir que o invasor descubra que você possui um disco de recuperação TrueCrypt, portanto, você só transferiu seu problema para um dispositivo de armazenamento menor, possivelmente mais facilmente ocultável. Se você quiser ir um passo além, você irá baixar novamente o TrueCrypt toda vez que precisar dele, criar um Disco de Recuperação para inicializar e depois apagá-lo e todos os seus rastros depois; -).