web-dev-qa-db-ja.com

「拒否可能なファイルシステム」オプションを裏切る可能性のあるTrueCrypt dataleaks

" Operation Satyagraha "を読むと、理論上および実際にはTrueCryptボリュームが" deniable file system "。

「拒否可能なファイルシステム」オプションを裏切る可能性のあるTrueCryptデータリークの考えられる原因は何ですか。また、それらを無効にするための対策は何ですか。

3
blunders

記事では、調査員がどのようにしてtruecryptボリュームの存在を見つけたのかについては触れられていません(それは簡単にあなたの答えになるかもしれません:))。

Truecryptを使用できるいくつかの方法の1つは、基本的に暗号化されたボリュームである containers を作成することです。これは、固定サイズのファイルとしてディスクに保存されます。 truecryptボリュームを検出しようとする方法 (エントロピー分析など)はありますが、ボリュームを正式に検出できるものについては聞いたことがありません。

暗号化されたボリュームの存在に向けてできたことをドライブに他の兆候がある可能性があります。簡単な例は次のとおりです。

  • 既知のデータ形式に実際には属していないファイル(拡張子が.mpg?)の存在
  • 前述のファイルはちょうど1GBです!! (または、MB、KBの整数に等しい固定サイズ)
  • 調査時にそのようなファイル共有/マウントが存在しないP:\ video.mpg(または* nixでは/mnt/t/video.mpg)などのパスを示すさまざまなソフトウェア/ログで最近開かれたエントリ。または、ブラウザのログ/ Truecryptマウントによって開かれたページのキャッシュ。
  • 自動保存を行うプログラム-現在マウントされている暗号化されたボリュームからファイルを表示/編集しているときに、暗号化されていないディスクキャッシュにデータを保存します。

上記のいずれも、暗号化されたドライブの存在を決定的に示しているわけではありませんが(まとめて考えた場合でもそうではありません)、暗号化されたボリュームがあると信じる理由がある場合、それらはあなたの信念を強化できます。

5
CodeExpress

外側のボリュームでは、もっともらしい否認性はかなり弱いです。結局のところ、パーティションまたはファイルがランダムデータでいっぱいになる可能性があります。

内部ボリュームの場合は少し良いです。TrueCryptパーティションの空き領域はランダムなデータで満たされるため、非表示のボリュームは特別ではありません。

システム暗号化を使用していない場合、OSには、truecryptの痕跡と、存在しないドライブ上のファイルの使用の痕跡が含まれている可能性があります。

外部ボリュームでめったに使用されないOSも少し疑わしいです。

4
CodesInChaos

暗号化されたデータ(truecryptまたは他のソフトウェアであっても)は常に奇妙に見えます。テキストドキュメントなどはregularまたはnormalのように見えます。画像、音楽、圧縮データなどを含むファイルには、それを識別するのに役立つヘッダーがあります。プログラム(.exeファイル)でも特定の構造になります。

暗号化されたデータは、他のデータ形式に似ていないランダムなデータとして見えます。疑わしいコンピューターの内部で何かを探していて、完全にランダムに見える大きなファイル(またはパーティション、またはボリューム全体)を見つけた場合...まあ、それは通常のファイルではなく、分析します。暗号化されているに違いない。

では、通常のファイルとは異なる大きなファイルを非表示にする方法は?

Truecryptコンテナー(または他のプログラム)を非表示にするには、通常のアーカイブのふりをします。これは一種のステガノグラフィーであり、非表示になっているデータよりもはるかに大きなファイルが必要です。したがって、実用的な目的では、非実用的です。

ランダムデータを非表示にする別の方法は、他のすべて(またはほぼ)もランダムにすることです。そのため、ランダムなデータが他のコンテンツではない場合でも、ハードドライブのすべての空のスペースに「保存」します。しかし、何かを隠そうとしていることは明らかです。

唯一の真の代替策:だれにもHDDを入手させないでください。そのため、疑わしいファイルが内部にあるかどうかはわかりません。

3
woliveirajr

「拒否可能なファイルシステム」オプションを裏切る可能性のあるTrueCryptデータリークの考えられる原因は何ですか。また、それらを無効にするための対策は何ですか。

TrueCrypt自体は、あなたがしたことを何も思い出さないのが得意です。したがって、リークは主に自分の行為の結果です。

ただし、TrueCryptでは解決できない問題が1つあります。

暗号化されたパーティションがあると仮定します。ランダムなデータが入っています。次に、同じパーティションに対して行った作業(ファイルの編集など)のプリイメージとポストイメージがあるこの状況について考えます。差分分析は、あなたが確かにそのようなパーティションに何かを持っていることを調査者に伝えることができます。さらに悪いことに、ディスク上の特定のセグメントに調査者を特定することさえします。否認があります。

この欠陥は完全にTrueCryptにありますが、修正するには費用がかかります。

1
Nam Nguyen

TrueCryptが揮発性ディスク(非ライブブートCD)にインストールされて使用されている場合、ボリュームを検出するだけではありません 今日これを見つけました

TrueCryptがHDにインストールされている場合、ボリューム、最終アクセス、場所に関する情報が明らかに漏洩し、(一連のスクリプトを介して)キーと暗号化方式を抽出することが可能です。

さらに、OSによっては、システムキャッシュからプレーンテキストを抽出できる場合があります...

1
Mike