Si cifra un dispositivo con un código de acceso, los datos almacenados en el dispositivo no se pueden recuperar mediante el descubrimiento forense.
¿Qué pasa con el código de acceso en sí? ¿Eso está encriptado también?
¿Pueden los analistas forenses simplemente recuperar el código de acceso en forma auténtica y usarlo para descifrar el resto del dispositivo?
Los detalles del dispositivo son muy importantes aquí. En general, sin embargo, (cuando se habla de dispositivos que implementan mecanismos de cifrado razonablemente seguros) cuando se cifra un dispositivo con una contraseña, esa contraseña no se almacena en ningún lugar. El proceso estándar es que cuando la contraseña, cuando se ingresa, se ejecuta a través de una función de derivación de clave para crear de manera determinista la clave de cifrado de clave, que luego se utiliza para descifrar la clave de cifrado de datos, que fue generada aleatoriamente por dispositivo, y lo que realmente se utiliza para cifrar y descifrar los datos en el dispositivo. Sin la clave de cifrado de clave, no puede descifrar la clave de cifrado de datos y no puede recuperar los datos.
Exactamente lo contrario de tu pregunta es verdad ... veamos un dispositivo Windows, por ejemplo. El sistema operativo en sí tiene un código de acceso que le impide iniciar sesión como usuario / admin / etc. Si tuviera que extraer el disco duro del dispositivo o arrancar en un sistema operativo diferente en el dispositivo, puede ver todos los datos en la unidad sin el obstáculo del sistema operativo que solicita autenticación.
Para los volúmenes cifrados, el descifrado no es posible sin las claves involucradas en el cifrado. Para los volúmenes cifrados, adivinar la contraseña del sistema operativo y obtenerla por casualidad tiene mayores probabilidades que descifrar el cifrado del disco.
Espero que responda a tus preguntas.
No ha mencionado qué plataforma, pero al utilizar el término código de acceso, asumiré iOS. Otras plataformas son probablemente similares.
Hay muchos detalles sobre el cifrado y las características de seguridad de iOS aquí: enlace
Específicamente:
Además de desbloquear el dispositivo, un código de acceso proporciona entropía para ciertas claves de cifrado .
...
(NSFileProtectionComplete): la clave de clase está protegida con una clave derivado del código de acceso del usuario y del UID del dispositivo. Poco después de la el usuario bloquea un dispositivo (10 segundos, si la configuración de Requerir contraseña es Inmediatamente), la clave de clase descifrada se descarta, representando todos los datos en esta clase inaccesible hasta que el usuario ingrese el código de acceso nuevamente o desbloquea el dispositivo usando Touch ID.
Básicamente, el código de acceso se utiliza como clave de descifrado: si se ingresa el código de acceso incorrecto, el descifrado fallará. Si el descifrado tiene éxito, entonces el código de acceso es válido.
Los analistas forenses pueden simplemente recuperar el código de acceso en forma auténtica ¿Y usarlo para descifrar el resto del dispositivo?
No, solo podrá descifrar las otras claves si conoce primero el código de acceso.
Además, este es un problema común con el cifrado AES. Si tiene la clave AES, puede descifrar lo que esté cifrado. Por lo tanto, se utilizan técnicas de cifrado alternativas como la criptografía de curva elíptica para proteger la clave AES.
Lea otras preguntas en las etiquetas encryption forensics