È complicato. I volumi di VeraCrypt sembrano essere dati casuali - sono l'output di una routine di crittografia che dovrebbe essere indistinguibile dai dati casuali, salvo qualche difetto nell'algoritmo o nell'implementazione dell'algoritmo - e che si applica sia ai volumi all'interno dei file sia alla crittografia di sistema .
VeraCrypt accetta una password, quindi tenta tutte le funzioni di derivazione delle chiavi supportate, tutti gli algoritmi di crittografia supportati e tutte le lunghezze chiave supportate contro i primi 512 byte del volume. Se uno di questi risultati nei primi 4 byte di dati decrittografati è la stringa "VERA", si presume che i metodi utilizzati siano corretti e il resto dell'intestazione sia utilizzato per decrittografare il resto del volume. Ciò significa che non è necessario memorizzare le informazioni sul codice utilizzato o la dimensione della chiave prevista (vedere link per tutti i dettagli).
Tuttavia, se è stata impostata la crittografia del sistema, la routine per eseguire questa decrittazione viene archiviata sulla prima traccia dell'unità di avvio, non crittografata, altrimenti non può essere eseguita prima della decrittografia. In realtà non è necessario averlo installato: è possibile utilizzare un disco di ripristino per avviare il sistema quanto basta per decodificare il volume, ad esempio, nel qual caso vengono lasciati solo i dati crittografati sull'unità.
In questo caso, l'unica prova di VeraCrypt (o software simile) in uso è il grande blob di dati casuali. La mancanza di un metodo di decrittografia potrebbe essere considerata sospetta, specialmente in casi come i controlli di frontiera, in cui sarebbe inusuale trasportare un laptop con un'unità che era stata sovrascritta con dati casuali. D'altra parte, avere un'unità crittografata, con i metodi appropriati da decifrare per l'uso, è una procedura standard per molti utenti aziendali (sebbene questo potrebbe normalmente essere BitLocker piuttosto che VeraCrypt).
Per i volumi basati su file, la presenza di un file che apparentemente contiene solo dati casuali potrebbe essere considerata sospetta: la maggior parte dei file legittimi presenta una sorta di intestazione rilevabile, anche se VeraCrypt stessa non è installata sul dispositivo. Tuttavia, non hanno nulla per indicare che sono volumi di VeraCrypt - ad esempio, ho un sacco di file che sono semplicemente dump di valori casuali da /dev/random sul mio sistema di lavoro, che utilizzo per testare sistemi di caricamento che pretende di consentire tipi di file specifici (rinominandoli al tipo previsto, verifica se il sistema controlla le intestazioni o fa affidamento sulle estensioni di file, senza rischiare di utilizzare accidentalmente un tipo di intestazione accettato). Non c'è nulla che possa distinguerli dai volumi di VeraCrypt, a parte il fatto che non esiste una password (nota) che li decifra per produrre "VERA" all'inizio.
Quindi:
- Per la crittografia del sistema, esiste una routine di decrittazione pre-avvio per consentire l'avvio senza un disco di ripristino
- Per altri tipi di volume, non c'è nulla direttamente aggiunto da VeraCrypt, ma la presenza di VeraCrypt stessa e la mancanza di volumi evidenti potrebbero suggerire che qualcosa è nascosto
- Per una credibilità plausibile, la presenza di VeraCrypt non è intesa come segreta, ma piuttosto se un gruppo specifico di dati casuali all'interno di un volume VeraCrypt è un altro volume VeraCrypt o no
- Anche se è difficile trovare prove dirette, potrebbe essere possibile esaminare la mancanza di dati e trarre conclusioni sul fatto che qualcosa è nascosto - vedi link