¿Es posible el análisis forense con unidades de disco cifradas completas?
Lo sé porque no llenamos a cero nuestras unidades cuando eliminamos un archivo o el sistema de archivos deja un rastro de un archivo generalmente forense, como recuperar un archivo eliminado o descubrir que el archivo existe es posible.
¿Eso también se aplica a las unidades cifradas de disco completo?
Si el atacante logra obtener varias imágenes de disco de un disco cifrado con FDE a lo largo del tiempo, FDE puede perder la ubicación y el tamaño de los sectores que cambiaron entre las imágenes.
Dependiendo de la otra información que el atacante ya tenga disponible sobre usted, es posible que puedan inferir qué tipo de información se cambió.
Además, XTS, que es el modo de cifrado más utilizado para el cifrado de disco completo, fuga al pingüino con el tiempo debido a la forma en que funcionan los ajustes. Escribir los mismos datos en el mismo bloque escribirá el mismo bloque cifrado. Si un bloque determinado cambia entre dos valores posibles, pueden inferir cuándo se produce ese giro y posiblemente qué valor se convierte en qué. Más información sobre esto .
Finalmente, es probable que esto no sea relevante para el escenario forense, pero como XTS no está autenticado, un atacante sofisticado también puede jugar con el disco cifrado para modificar los datos que contiene.
Lea otras preguntas en las etiquetas forensics disk-encryption