E 'possibile dedurre che una partizione di TrueCrypt nascosta è probabile che sia presente

Naviga le tue risposte
7

TrueCrypt contiene una funzione che ti consente di creare un volume nascosto . Si dice che non può essere provato se esiste un volume nascosto. Tuttavia, è possibile dedurre dallo stato dei dati sul disco che è probabile che esista un volume nascosto? Innanzitutto, se la partizione non nascosta non occupa tutto il disco, è un buon indizio proprio lì. Inoltre, la porzione non utilizzata probabilmente non conterrà casuale (aspetto casuale perché è crittografato) ma piuttosto pezzi di vecchi file (perché il sistema operativo non sovrascrive realmente i dati durante l'eliminazione). L'esistenza di una serie di spazi vuoti casuali nel disco non implica che ci sia probabilmente una partizione nascosta, simile a come affermano che quando si usano le partizioni di file ospitate, non c'è leggibile negatività perché non c'è motivo, a parte un file crittografato, di avere file pieni di dati casuali sul disco.

    
posta Kibbee 20.11.2011 - 02:34
fonte

3 risposte

6

La negabilità plausibile nel contesto dei volumi crittografati nascosti è un po 'impropria. "Possibile negabilità" sarebbe un nome migliore. Non c'è modo di confermare l'esistenza di tali volumi senza conoscere la passphrase, ma ci sono certamente dei modi per inferirne l'esistenza.

Se il volume nascosto non si trova all'interno di un volume normale, la presenza di spazio non occupato completamente casuale sarà una bandiera rossa. Se il volume nascosto è all'interno di un volume normale, meno così; dato che i volumi TrueCrypt non possono essere ridimensionati, è perfettamente plausibile che tu abbia creato un volume da 20 GB solo per il futuro, anche se ora utilizzi solo 2 GB.

Una semplice azione attiva per dedurre l'esistenza di un volume nascosto è quella di cercare di riempire quello spazio dall'aspetto vuoto. Se ti opponi o ti agiti, se mostri un allegato a quello spazio vuoto, hai confermato il sospetto che ci sia effettivamente un volume nascosto. Quindi se hai un volume nascosto, faresti meglio a stare con l'idea che possa essere cancellato in qualsiasi momento.

Una tecnica generale per dedurre l'esistenza di un volume vuoto è cercare tracce di accesso in un'unità assente. La cronologia recente del documento, la cronologia della riga di comando, i registri di sistema potrebbero contenere riferimenti a quel volume, probabilmente (in particolare rispetto ai registri di sistema o incongruenze tra i registri di sistema e i registri delle applicazioni) in un modo che mostra che il volume non era un'unità rimovibile che non ti capita di avere sulla tua persona. Quindi è meglio non accedere a quel volume nascosto con il tuo normale sistema operativo.

È possibile nascondere un intero sistema operativo sul volume nascosto. Quindi ciò che potrebbe essere sospetto è quando non hai utilizzato il tuo normale sistema operativo. Quindi hai portato un computer nel paese e non l'hai mai avviato? Sospetto! Una buona storia di copertura sarebbe quella di far eseguire il tuo apparente sistema operativo solo nella RAM e di non salvare nulla sul disco ("è solo per il web e la posta, e la mia posta è archiviata sul server, in questo modo non sono preoccupato per i virus “).

L'esistenza stessa di volumi nascosti è in realtà un po 'un disservizio, perché non si può facilmente confutare la loro presenza. Il meglio che puoi fare è essere disposto a riempire il tuo spazio vuoto su richiesta, il che potrebbe non alleviare completamente qualsiasi sospetto che tu abbia un volume nascosto.

Se si desidera nascondere alcuni dati, lo spazio vuoto di un volume crittografato apparente è ideale dal punto di vista della crittografia pura, ma non così tanto quando si guarda al quadro di sicurezza più ampio. C'è troppa discrepanza tra l'apparente vuoto e il reale contenuto di valore memorizzato lì. Suggerirei di nascondere i dati all'interno di file di grandi dimensioni presenti in natura, come i video; questo almeno ti dà una ragione per cui lo spazio deve essere occupato da dati che potresti considerare plausibilmente preziosi.

    
risposta data 20.11.2011 - 16:36
fonte
5

È possibile avere solo un volume nascosto in un volume esistente. Può essere possibile rilevare un volume TrueCrypt, ma inferire se c'è un volume nascosto o no?

Se non rendi credibile il contenuto del volume esterno, allora la gente potrebbe dedurre che esiste un volume nascosto che contiene effettivamente cose preziose. Non c'è modo di dimostrarlo, tuttavia la tua domanda riguarda l'inferenza.

Se qualcuno riesce a trovare un contenitore TrueCrypt, indovina la password per il servizio outervolume e trova un gruppo di file facilmente non sostituibili, quindi probabilmente dedurrebbe che ci sia un volume nascosto. L'idea di un volume nascosto funziona solo se riesci a convincere la gente che il volume esterno è l'unico volume, il che significa che dovrebbe contenere cose che valgono la crittografia.

    
risposta data 20.11.2011 - 06:57
fonte
1

La tua risposta è sulla pagina a cui ti sei collegato.

The principle is that a TrueCrypt volume is created within another TrueCrypt volume (within the free space on the volume).

e

..free space on any TrueCrypt volume is always filled with random data when the volume is created** and no part of the (dismounted) hidden volume can be distinguished from random data.

    
risposta data 20.11.2011 - 04:18
fonte

Leggi altre domande sui tag

Qualcuno ha provato a estrarre la chiave di crittografia da un SSD? Perché ho bisogno di un firewall sul mio router?