假设我用 Truecrypt 加密了整个硬盘,然后使用救援 CD 从硬盘中完全删除引导加载程序。我有两个问题:
1)如果硬盘上没有引导加载程序,是否意味着无法尝试暴力破解密码?
2) 如果我的计算机旁边有一张 DBAN CD,是否可以说“我刚刚用 DBAN 刷新了 HDD,因为我准备重新安装?”
谢谢。
答案1
我不是安全专家。对我的所有建议持保留态度,手的大小与所需的安全程度有关。
我相信情况确实如此,但我不是 TrueCrypt 专家。当然,您需要有可用的救援磁盘来启动计算机,因此如果攻击者发现它,他们仍然可以尝试暴力破解密码。
尽管这是 TrueCrypt 的目标之一(请参阅其合理否认页面上的第二点),但我不确定这是否合理,原因有二。首先,如果您只是删除引导加载程序而不将其替换为随机数据,那么显然会发生一些事情。也许 CD 会用随机数据替换引导加载程序,所以这不是问题;如果不是,则可以用其他方式将其替换为随机数据。第二个问题是,您确实需要将 TrueCrypt CD 放在计算机附近,这样您仍然可以启动计算机。这可能会限制合理否认。解决这个问题的一种方法可能是始终将 DBAN CD 放在计算机内(启动时除外),并将 TrueCrypt CD 放在附近。假设硬盘驱动器以前包含 TrueCrypt 卷,但现在没有,因为您刚刚将其擦除。这仍然有点可疑:如果数据已经加密,为什么还要使用 DBAN?
要判断 TrueCrypt 救援 CD 是否用随机数据替换了引导加载程序,请从某些 Linux 实时 CD 或 USB 驱动器启动并运行以下命令:
dd if=/dev/sda bs=512 count=1 | hexdump | tail
如果结果是一堆不以 55aa 结尾的垃圾,那么它就是随机数据。如果它以 55aa 结尾,那么它就是有效的引导加载程序。如果它是
0000000 0000 0000 0000 0000 0000 0000 0000 0000
*
0000200
然后引导加载程序轨道被零覆盖(我敢肯定你能看出来),你需要自己用随机数据替换它。这可以通过以下方式完成
dd if=/dev/urandom of=/dev/sda bs=512 count=1
注意:我没有运行过此命令。它可能会将随机数据写入引导加载程序以外的内容,并可能导致您的系统无法启动。请谨慎使用!另请注意,/dev/urandom 不如 /dev/random 安全,但您不需要此短字节序列的高质量随机数据。
现在,运行第一个命令以确保它不以 55aa 结尾。这种情况极不可能,但有可能,所以最好确认一下。如果可能性极小(65,000 分之一),只需再次运行第二个命令即可。
现在,您有一个完全随机的磁盘,可能是用 DBAN 生成的。如果有人在机器中看到这个带有 DBAN 磁盘的磁盘,他们会认为这是一个随机硬盘。他们可能会让您坚持声称在其上安装操作系统,但他们不太可能证明那里有一个 Truecrypt 卷。
我希望这能有所帮助,但我还是不是一名安全专家。