Существует ли какое-либо полное шифрование диска, которое не имеет следов судебной экспертизы? Любой эффективный метод?

Question

Я тестировал целый ряд полных шифрований диска, но все еще новичок в компьютерной криминалистике. Тем не менее, я полностью осведомлен о ложных / скрытых ОС и атаках с помощью «холодной загрузки»

Даже Truecrypt и Bestcrypt содержат следы в заголовке, загрузчике или MBR. Таким образом, это вызовет подозрения и усложнит вам задачу, например, заставит вас ввести пароль и так далее. Некоторые люди пытались удалить или изменить следы, но в результате получили поврежденный зашифрованный раздел / том.

Есть ли эффективный метод?

Как ФБР узнало, что подозреваемые используют Труекрипт?

Изменить строки загрузчика TrueCrypt Encryption

Answer 1

http://www.truecrypt.org/docs/?s=plausible-deniability

До дешифрования раздел / устройство TrueCrypt, по-видимому, состоит из не более чем случайных данных (они не содержат никаких "подписей"). Следовательно, невозможно доказать, что раздел или устройство является томом TrueCrypt или что он зашифрован (при условии, что соблюдаются требования и меры безопасности, перечисленные в главе "Требования безопасности и меры предосторожности").

При форматировании раздела жесткого диска как тома TrueCrypt (или шифровании раздела на месте) таблица разделов (включая тип раздела) никогда не изменяется (никакие TrueCrypt "подпись" или "ID" не записываются в таблицу разделов).

Существуют методы поиска файлов или устройств, содержащих случайные данные (например, тома TrueCrypt). Обратите внимание, однако, что это никоим образом не должно влиять на вероятное отрицание. Злоумышленник по-прежнему не сможет доказать, что раздел / устройство является томом TrueCrypt или что файл, раздел или устройство содержит скрытый том TrueCrypt (при условии, что вы соблюдаете требования и меры безопасности, перечисленные в главе "Требования безопасности" и Меры предосторожности и в подразделе «Требования безопасности и меры предосторожности, касающиеся скрытых томов»).

Помимо изобретения невидимого жесткого диска, это так же хорошо, как и получается.

Answer 2

Если вы говорите о внешнем жестком диске, содержащем том TrueCrypt, то, как указано в ответе Моаба, его нельзя отличить от диска, содержащего неформатированный раздел. Криминалисты в основном знали бы, что «это выглядит случайным образом, поэтому существует реальная вероятность того, что XX% будет зашифровано» ;-). Я бы лично предположил, что XX> 80.

Однако, если вы хотите, чтобы полная компьютерная система была загружаемой и зашифрованной, то это никак не может быть полностью невозможно обнаружить, поскольку она должна содержать компьютерный код, выполняющий алгоритм дешифрования где-то в незашифрованном виде; поэтому, если злоумышленник разберет загрузчик и любой код, который он вызывает, он / она неизбежно узнает, используется ли какое-либо шифрование!

Исключением может быть, если ваша система-приманка установлена с обычным загрузчиком и вы получаете доступ к вашей системе TrueCrypt только с помощью Rescue Disk, который содержит загрузчик TrueCrypt Boot Loader. Конечно, вы не должны позволять злоумышленнику узнать, что у вас есть спасательный диск TrueCrypt, поэтому вы перенесли свою проблему только на меньшее, возможно, более легко скрываемое устройство хранения. Если вы хотите пойти еще дальше, вы каждый раз перезагружаете TrueCrypt, создаете аварийный диск для загрузки, а затем стираете его и все его следы ;-).