私はかなりの数の完全なディスク暗号化をテストしていますが、それでもコンピュータフォレンジックなものが新しいです。私はデコイ/隠しOSと冷房攻撃を完全に認識しています。
TrueCryptとBestCryptさえヘッダー、ブートローダ、またはMBRのトレースを含みます。したがって、これは疑いを引き起こし、パスワードなどを与えるようにあなたを強制的にするような複雑さに入れるでしょう。一部の人々はトレースを削除または変更しようとしましたが、損傷した暗号化パーティション/ボリュームで終了しました。
効果的な方法はありますか?
http://www.truecrypt.org/docs/?s= plausible-denvidal
復号化されるまで、TrueCryptパーティション/デバイスはランダムなデータ以下のもので構成されているように見えます(種類の「署名」は含まれません)。したがって、パーティションまたはデバイスがTrueCryptボリュームであること、または暗号化されていることを証明することは不可能であるべきです(章セキュリティ要件および注意事項に記載されているセキュリティ要件と予防措置が従った場合)。
ハードディスクパーティションをTrueCryptボリュームとしてフォーマットするとき(またはパーティションが所定の位置に暗号化する)、パーティションテーブル(パーティションタイプを含む)は決して変更されません(TrueCrypt "署名"または "ID"はありません。パーティションテーブルに書き込まれます。
ランダムデータ(TrueCryptボリュームなど)を含むファイルやデバイスを見つける方法があります。ただし、これはあらゆる方法でもっともらしい否定性に影響を与えるべきではありません。 敵対者はまだパーティション/デバイスがTrueCryptボリュームであること、またはファイル、パーティション、またはデバイスに隠されたTrueCryptボリュームが含まれていることを証明できません(セキュリティ要件と注意事項および隠されたボリュームに関するセキュリティ要件および節約のセキュリティ要件および注意事項に記載されているセキュリティ要件および注意事項に従うとするとします。
目に見えないハードドライブを発明すること以外は、これはそれが得るのと同じくらい良いです。
TrueCryptボリュームを含む外付けハードドライブについて話している場合は、MOABの回答で引用されているように、これは、フォーマットされていないパーティションを含むドライブと区別できないはずです。フォレンジックは基本的に「それはランダムなように見えるので、それは暗号化されているという実際のXXパーセントの現実的なチャンスがある」;-)です。私は個人的にそのxx> 80を想定したいと思います。
ただし、フルコンピュータシステムを起動可能と暗号化にする場合は、がありませんこれは完全に追跡できない可能性があります。暗号化されていない形式のどこかで復号化アルゴリズムを実行するコンピュータコードを含める必要があるので。したがって、攻撃者がブートローダとそれが呼び出したコードであれば、暗号化が使用されているかどうかを必然的に見つけることができます。
例外は、デコイシステムが通常のブートローダと一緒にインストールされており、TrueCryptブートローダーを含む Rescue Disk を使用してTrueCryptシステムにアクセスするだけであればなります。もちろん、攻撃者にTrueCrypt Rescueディスクを所有していることを調べてはいけません。そのため、問題を小さく、おそらく簡単に隠れたストレージデバイスにしか移動しません。さらに一歩進みたい場合は、必要に応じてTrueCryptを再ダウンロードし、起動用のレスキューディスクを作成してから、その後のすべてのトレースを作成してください.-)。