Gibt es eine vollständige Festplattenverschlüsselung, die keine forensischen Spuren hat? Jede effektive Methode?

2448
desperado

Ich habe eine ganze Reihe von Festplattenverschlüsselungen getestet, aber immer noch etwas Neues in Sachen Computer-Forensik. Ich bin mir des Köder- / versteckten Betriebssystems und des Kaltstartangriffs jedoch völlig bewusst.

Auch Truecrypt und Bestcrypt enthalten Spuren im Header, Bootloader oder MBR. Daher wird dies den Verdacht aufkommen lassen und Sie in Komplikationen versetzen, indem Sie zum Beispiel dazu gezwungen werden, ein Kennwort zu geben. Einige Leute hatten versucht, die Spuren zu entfernen oder zu modifizieren, hatten aber eine beschädigte verschlüsselte Partition / ein beschädigtes Volume.

Gibt es eine wirksame Methode?

Wie hat das FBI die Verdächtigen mit Truecrypt kennen gelernt?

Ändern Sie die TrueCrypt Encryption Boot Loader-Zeichenfolgen

1
[Related.] (Http://xkcd.com/538/) Hello71 vor 13 Jahren 0
Auch [verwandt] (http://superuser.com/questions/164162/is-truecrypt-truly-safe). Hello71 vor 13 Jahren 0

2 Antworten auf die Frage

4
Moab

http://www.truecrypt.org/docs/?s=plausible-deniability

Bis zum Entschlüsseln scheint eine TrueCrypt-Partition / ein Gerät nur aus zufälligen Daten zu bestehen (es enthält keine Art von "Signatur"). Daher sollte es nicht möglich sein zu beweisen, dass es sich bei einer Partition oder einem Gerät um ein TrueCrypt-Volume handelt oder dass es verschlüsselt wurde (vorausgesetzt, dass die Sicherheitsanforderungen und Vorsichtsmaßnahmen beachtet werden, die im Kapitel Sicherheitsanforderungen und Vorsichtsmaßnahmen aufgeführt sind).

Wenn Sie eine Festplattenpartition als TrueCrypt-Volume formatieren (oder eine Partition an Ort und Stelle verschlüsseln), wird die Partitionstabelle (einschließlich des Partitionstyps) niemals geändert (es werden keine TrueCrypt-Signatur oder -ID in die Partitionstabelle geschrieben ).

Es gibt Methoden zum Suchen von Dateien oder Geräten, die zufällige Daten enthalten (z. B. TrueCrypt-Volumes). Beachten Sie jedoch, dass dies in keiner Weise die plausible Verneinbarkeit beeinträchtigen sollte. Der Angreifer sollte dennoch nicht nachweisen können, dass es sich bei der Partition / dem Gerät um ein TrueCrypt-Volume handelt oder dass die Datei, Partition oder das Gerät ein verstecktes TrueCrypt-Volume enthält (vorausgesetzt, Sie befolgen die Sicherheitsanforderungen und Vorsichtsmaßnahmen, die im Kapitel Sicherheitsanforderungen und aufgeführt sind Vorsichtsmaßnahmen und im Unterabschnitt Sicherheitsanforderungen und Vorsichtsmaßnahmen für verborgene Datenträger).

Abgesehen von der Erfindung einer unsichtbaren Festplatte ist dies so gut wie es nur geht.

Einverstanden. Man könnte eine verschlüsselte Partition in eine TrueCrypt-Partition einbetten, wodurch eine externe "Spoof" -Partition mit gefälschten Daten entsteht, um jegliche forensische Analyse auszuschalten. vor 13 Jahren 0
Keine Beleidigung beabsichtigt, ich bin auch ein Truecrypt-Fan. Ich möchte einige Artikel zu meinen Fragen ansprechen: Woher wusste das FBI, dass die Verdächtigen Truecrypt verwendet haben? http://news.techworld.com/security/3228701/fbi-hackers-fail-to-crack-truecrypt/?intcmp=ros-md-acc-p-nws Ändern der TrueCrypt-Verschlüsselung-Bootloader-Zeichenfolgen http: // www. anti-forensics.com/modify-truecrypt-encryption-boot-loader-strings desperado vor 13 Jahren 0
Ist die Tatsache, dass Sie beim Booten von einer Truecrypt-verschlüsselten Festplatte nach einem Kennwort gefragt werden, nicht offensichtlich, dass eines die Festplattenverschlüsselung verwendet? emgee vor 13 Jahren 0
+1 für die unsichtbare Festplatte. Natürlich wissen wir alle, dass Sicherheit durch Unklarheit eine schlechte Idee ist ... skub vor 13 Jahren 0
@emgee: Ich glaube das kann man ändern. Hello71 vor 13 Jahren 0
@Moab: Dies gilt nur für einzeln verschlüsselte Dateien oder Partitionen. Der TrueCrypt-Bootloader enthält noch eine Signatur, die erkannt werden kann. Hello71 vor 13 Jahren 0
@ Hello71, dann geh mit der unsichtbaren Festplatte. ; -> Zugegeben Truecrypt erwähnt den modifizierten Bootloader nicht. Moab vor 13 Jahren 0
@desperado, das liegt daran, dass das FBI den brasilianischen Bankier nicht Waterboard genommen hat. ; -> Moab vor 13 Jahren 0
Emgee, mit Truecrypt oder Bestcrypt können wir die Pre-Boot-Nachricht auf "Missing operating system" oder sogar leer ändern. desperado vor 13 Jahren 0
0
Jonas Heidelberg

Wenn Sie von einer externen Festplatte sprechen, die ein TrueCrypt-Volume enthält, sollte dies, wie in der Antwort von Moab zitiert, nicht von einem Laufwerk unterschieden werden, das eine nicht formatierte Partition enthält. Forensiker würden im Grunde nur wissen, "dass es nach dem Zufallsprinzip aussieht, also besteht eine reale Chance von XX Prozent, dass es verschlüsselt wird" ;-). Ich würde persönlich davon ausgehen, dass XX> 80.

Wenn Sie jedoch möchten, dass ein vollständiges Computersystem bootfähig und verschlüsselt werden kann, besteht keine Möglichkeit, dass dies völlig unauffindbar ist, da es den Computercode enthalten muss, der den Entschlüsselungsalgorithmus irgendwo in unverschlüsselter Form ausführt. Wenn der Angreifer den Bootloader und den Code, den er anruft, demontiert, wird er / sie zwangsläufig herausfinden, ob eine Verschlüsselung verwendet wird!

Eine Ausnahme wäre, wenn Sie Ihr Decoy-System mit einem normalen Bootloader installiert hätten und nur über die Rettungsdiskette, die den TrueCrypt- Bootloader enthält, auf Ihr TrueCrypt-System zugreifen . Natürlich dürfen Sie den Angreifer nicht feststellen lassen, dass Sie eine TrueCrypt-Rettungsdiskette besitzen. Sie haben Ihr Problem also nur auf ein kleineres, möglicherweise leichter zu verdeckendes Speichergerät verschoben. Wenn Sie noch einen Schritt weiter gehen möchten, laden Sie TrueCrypt jedes Mal erneut herunter, wenn Sie es benötigen, erstellen Sie eine Rettungsdiskette für das Booten und löschen Sie sie anschließend mit allen Spuren ;-).

Verwandte Probleme