如果我使用 TrueCrypt 加密整个分区(标准卷,不是如果分区中包含一个隐藏卷(例如,一个隐藏卷),那么从统计上看,该分区是否与随机数据难以区分?
或者有人能够证明(可能使用卡方检验)数据确实不是随机的?
答案1
不,它可以与随机数据区分开来。然而,实际上这可能并不重要。
有一篇有趣的文章这里这解释了 TrueCrypt 容器的一些典型属性:
- 可疑文件大小模 512 一定等于零。
- 可疑文件大小至少为 19 KB(尽管实际上设置为 5 MB)。
- 可疑文件内容通过了卡方分布检验。
- 可疑文件一定不包含通用文件头。
它谈论的是这个程序猎杀,专门用于查找 TrueCrypt 容器。其中一个属性是它通过了卡方检验。然而,模 512 运算提供更多线索,显然,只通过卡方检验并不意味着它是完全随机的数据:
Truecrypt 卷本质上是文件,具有某些特性,允许 TCHunt 等程序以较高的准确率检测它们可能性。从数学角度来说,最重要的是,它们除以 512 的模数结果为 0。