我已经测试过相当多的全盘加密,但在计算机取证方面还是新手。不过,我完全了解诱饵/隐藏操作系统和冷启动攻击。
甚至 Truecrypt 和 Bestcrypt 也包含标头、引导加载程序或 MBR 中的痕迹。因此,这会引起怀疑,并使您陷入困境,例如强迫您提供密码等。有些人曾尝试删除或修改这些痕迹,但最终导致加密分区/卷损坏。
有没有什么有效的方法呢?
答案1
http://www.truecrypt.org/docs/?s=plausible-deniability
在解密之前,TrueCrypt 分区/设备似乎只包含随机数据(不包含任何类型的“签名”)。因此,不可能证明分区或设备是 TrueCrypt 卷或已加密(前提是遵循“安全要求和预防措施”一章中列出的安全要求和预防措施)。
将硬盘分区格式化为 TrueCrypt 卷(或就地加密分区)时,分区表(包括分区类型)从未被修改(没有 TrueCrypt“签名”或“ID”写入分区表)。
有一些方法可以查找包含随机数据的文件或设备(例如 TrueCrypt 卷)。但请注意,这不应以任何方式影响合理的否认。对手仍然无法证明该分区/设备是 TrueCrypt 卷,或者文件、分区或设备包含隐藏的 TrueCrypt 卷(前提是您遵守“安全要求和预防措施”一章和“隐藏卷的安全要求和预防措施”小节中列出的安全要求和预防措施)。
除了发明一种隐形硬盘之外,这已经是尽善尽美了。
答案2
如果您指的是包含 TrueCrypt 卷的外部硬盘,那么正如 Moab 的回答中所述,这应该与包含未格式化分区的驱动器没有区别。取证人员基本上只知道“它看起来像是随机的,因此有 XX% 的真实概率它是加密的”;-)。我个人认为 XX>80。
然而,如果你想要一个完整的计算机系统可启动和加密, 有决不这可能是完全无法追踪的,因为它需要以未加密的形式在某处包含执行解密算法的计算机代码;所以如果攻击者反汇编引导加载程序及其调用的任何代码,他/她将不可避免地发现是否使用了任何加密!
例外情况是,如果你的诱饵系统安装了正常的引导加载程序,并且只使用救援磁盘其中包含 TrueCrypt 启动加载程序。当然,您不能让攻击者发现您拥有 TrueCrypt 救援磁盘,因此您只是将问题转移到一个更小、可能更容易隐藏的存储设备。如果您想更进一步,您可以在每次需要时重新下载 TrueCrypt,创建一个用于启动的救援磁盘,然后删除它及其所有痕迹 ;-)。