La forensics è possibile con dischi cifrati su disco completo?
Lo so perché non riempiamo le nostre unità di zero quando cancelliamo un file o il file system lascia una traccia di un file di solito forense come il recupero di un file cancellato o la scoperta che il file esiste.
Questo vale anche per le unità crittografate su disco completo?
Se l'autore dell'attacco riesce a ottenere più immagini disco di un'unità FDE crittografata nel tempo, FDE potrebbe perdere la posizione e le dimensioni dei settori che cambiano tra le immagini.
A seconda di quali altre informazioni che l'utente malintenzionato ha già a disposizione su di te, potrebbero essere in grado di dedurre quale tipo di informazioni è stato cambiato.
Inoltre, XTS, che è la modalità di cifratura più comunemente utilizzata per la crittografia completa del disco, perde il pinguino nel tempo a causa del modo in cui il tweaking funziona. Scrivere gli stessi dati nello stesso blocco scriverà lo stesso blocco crittografato. Se un certo blocco si capovolge tra due valori possibili, possono essere in grado di dedurre quando accade questo capovolgimento ed eventualmente quale valore si trasforma in cosa. Ulteriori informazioni su questo .
Infine, questo probabilmente non è rilevante per lo scenario forense, ma dal momento che XTS non è autenticato, un hacker sofisticato può anche giocherellare con il disco crittografato per modificare i dati in esso.
Leggi altre domande sui tag forensics disk-encryption