Es complicado. Los propios volúmenes de VeraCrypt parecen ser datos aleatorios, son el resultado de una rutina de cifrado que debería ser indistinguible de los datos aleatorios, salvo algún defecto en el algoritmo o la implementación del algoritmo, y eso se aplica tanto a los volúmenes dentro de los archivos como al cifrado del sistema. .
VeraCrypt acepta una contraseña, luego prueba todas las funciones de derivación de clave admitidas, todos los algoritmos de cifrado admitidos y todas las longitudes de clave admitidas contra los primeros 512 bytes del volumen. Si uno de estos resultados en los primeros 4 bytes de datos descifrados es la cadena "VERA", se supone que los métodos utilizados son correctos, y el resto del encabezado se utiliza para descifrar el resto del volumen. Esto significa que no necesita almacenar información sobre el cifrado utilizado o el tamaño de la clave esperada (consulte enlace para los detalles completos).
Sin embargo, si ha configurado el cifrado del sistema, la rutina para realizar este descifrado se almacena en la primera pista de la unidad de arranque; esto no está encriptado, de lo contrario no se podría ejecutar antes del descifrado. En realidad, no es necesario que tengas esto instalado; puedes usar un disco de rescate para arrancar el sistema lo suficiente como para descifrar el volumen, por ejemplo, en cuyo caso solo quedan datos cifrados en la unidad.
En este caso, la única evidencia de que VeraCrypt (o un software similar) está siendo usado es el gran blob de datos aleatorios. La falta de un método de descifrado podría considerarse sospechosa, especialmente en casos como los controles de borde, donde sería inusual llevar una computadora portátil con una unidad que se haya sobrescrito con datos aleatorios. Por otro lado, tener un disco cifrado, con los métodos adecuados para descifrar para su uso, es un procedimiento estándar para muchos usuarios empresariales (aunque esto normalmente puede ser BitLocker en lugar de VeraCrypt).
Para volúmenes basados en archivos, la presencia de un archivo que aparentemente contiene solo datos aleatorios podría considerarse sospechosa (la mayoría de los archivos legítimos tienen algún tipo de encabezado detectable), incluso si VeraCrypt no está instalado en el dispositivo. Sin embargo, no tienen nada que indique que sean volúmenes de VeraCrypt; por ejemplo, tengo un montón de archivos que son simplemente volcados de valores aleatorios de /dev/random en mi sistema de trabajo, que uso para probar los sistemas de carga que afirma que permite tipos de archivos específicos (al renombrarlos al tipo esperado, comprueba si el sistema está comprobando los encabezados o confiando en las extensiones de archivo, sin arriesgarse accidentalmente a usar un tipo de encabezado aceptado). No hay nada que pueda distinguirlos de los volúmenes de VeraCrypt, aparte de que no hay una contraseña (conocida) que los descifre para producir "VERA" al principio.
Entonces:
- Para el cifrado del sistema, hay una rutina de descifrado antes del arranque para permitir el arranque sin un disco de rescate
- Para otros tipos de volumen, VeraCrypt no agrega nada directamente, pero la presencia de VeraCrypt y la falta de volúmenes obvios podrían sugerir que algo está oculto
- Para una negación plausible, la presencia de VeraCrypt en sí no pretende ser secreta, sino más bien si un conjunto específico de datos aleatorios dentro de un volumen de VeraCrypt es otro volumen de VeraCrypt o no
- Si bien es difícil encontrar evidencia directa, puede ser posible observar la falta de datos y sacar conclusiones de que algo está oculto; consulte enlace