¿Se pueden recuperar los archivos eliminados de un verdadero volumen de cifrado?

¿Cómo funciona la Papelera de reciclaje?

Cuando elimina un archivo de un disco duro, el archivo se mueve a una carpeta llamada $Recycle.Bin en la unidad misma . Entonces, cuando borras el archivo D:\Work_Files\SuperWeirdPr0n.mp4 , en realidad se mueve a D:\$Recycle.Bin . La "carpeta" principal de la Papelera de reciclaje es en realidad solo la agregación del contenido de todas las carpetas $Recycle.Bin de todos los discos que tiene disponibles.

¿Cómo se aplica eso a los volúmenes de TrueCrypt?

Bueno, más o menos lo mismo. Cuando envía un archivo desde un volumen cifrado montado a la Papelera de reciclaje, no dejará el volumen cifrado y permanecerá "seguro".

Si te hace sentir mejor, solo usa Shift + Del .

¿Un tercero puede recuperar sus archivos?

Sí. Independientemente de su situación en la Papelera de reciclaje, es muy probable que todavía haya alguna evidencia de la existencia de los archivos en algún lugar y suficiente información para recuperarla. Cuando abres archivos dentro de un volumen encriptado, la mayoría de los programas lo guardarán en caché en otro lugar en un formato no cifrado.

Para obtener más información al respecto, consulte ambas respuestas en esta pregunta .

TrueCrypt cifra todo el volumen, como una gran cantidad de sectores. TrueCrypt no sabe qué es un "archivo", solo ve sectores. Protege sus datos contra las personas que roban su disco pero no conocen la contraseña.

El sistema operativo administra los sectores, utilizando algunos de ellos como metadatos para describir los directorios y el uso de otros sectores para contener partes de archivos. Cuando se elimina un archivo, los metadatos se reorganizan primero para que los datos aparezcan como parte de un archivo en el directorio especial "papelera de reciclaje", y luego (cuando se vacía la bandeja) para marcar los sectores como "libres", es decir, reutilizables Para otros archivos o directorios. TrueCrypt no es consciente de estos juegos de sistema operativo; TrueCrypt cifra todos los sectores, independientemente de si contienen datos de archivo, metadatos o son gratuitos. Como tal, TrueCrypt protege los datos de los archivos eliminados, así como los datos de los archivos no eliminados.

Si el atacante conoce la contraseña del volumen de TrueCrypt, entonces virtualmente puede eliminarla y volver a la situación de no TrueCrypt: los datos de un archivo eliminado se pueden recuperar hasta que los sectores que la contienen se reutilicen. La reutilización del sector depende del uso del disco. Destructores de archivos primero sobrescriben el archivo con datos no deseados (varias veces, fuera de la tradición de tiempos anteriores), lo que garantiza la no recuperación.

Es posible que un archivo que se está eliminando en un volumen de Truecrypt se recupere siempre que tenga la contraseña / archivos de claves del volumen.

Truecrypt solo hace lo siguiente , - Proteja los datos cifrándolos antes de escribirlos en un disco. - Descifre los datos cifrados después de leerlos del disco.

La responsabilidad de la administración de archivos pertenece al sistema de archivos de su sistema operativo pero no a Truecrypt. A menos que esté utilizando herramientas de destrucción de datos de archivos o un sistema de archivos compatible con la eliminación de datos, cualquier archivo eliminado se puede recuperar hasta que se sobrescriba. Los archivos en la papelera de reciclaje no se sobrescriben hasta que los vacíe. Puede volver a encontrar el archivo eliminado en la papelera de reciclaje cuando vuelva a montar el volumen de Truecrypt.

No, a menos que puedan acceder / montar el volumen con éxito. La papelera de reciclaje es específica de la partición.

En la práctica, se cambia el nombre del archivo dentro del reciclador que reside en la misma letra de unidad, la del volumen montado que es el contenedor cifrado.

Por lo tanto, ese archivo no se puede leer fuera del contenedor sin importar si está en forma original o en forma pseudo-eliminada (movido a bin).