¡Eso es un montón de preguntas! Aunque honestamente, creo que su mayor problema es que no ha definido un modelo de amenaza . Debe comprender a su adversario, sus capacidades, el valor de sus activos, etc. Es mucho más probable que alguien simplemente conecte un keylogger de hardware que abrir físicamente su computadora y reemplazar su BIOS. Los atacantes siempre elegirán los ataques más simples sobre los más sofisticados, y tus adversarios no son una excepción.
El cifrado no puede proteger contra un atacante que tiene acceso físico sin restricciones al dispositivo que realiza el cifrado. Esto no es una limitación del cifrado en sí, sino una limitación con respecto a cómo se puede usar. VeraCrypt y otras utilidades de encriptación similares solo pueden proporcionar seguridad de datos en reposo , lo que significa que, cuando el sistema está apagado y todo lo que tiene un atacante son los datos encriptados sin procesar, no podrán descifrarlo. sin la llave Asegúrese de que su sistema esté atendido y físicamente seguro.
No quiero que se dañe el volumen oculto de VeraCrypt que creé. Si monto el volumen oculto y transfiero los archivos, no habrá daños, y si habilito la opción 'Proteger el volumen oculto contra los daños causados al escribir en el volumen exterior' En la ventana de diálogo de Opciones de Montaje, y escribo en el volumen externo, hay ningún daño al volumen oculto, ¿es correcto?
Eso es correcto. Si habilita "proteger volumen oculto", puede escribir en el volumen exterior de forma segura. Si se ve obligado a entregar su clave bajo coacción, solo proporcionará la clave de volumen externa y no ambas, lo que causaría que cualquier escritura dañe el volumen oculto. Esto es inevitable.
si alguien tiene acceso a una unidad flash encriptada de Veracrypt, no podría montar o escribir información en ella, y BadUSB, ¿no sería posible incluir malware en el firmware?
El cifrado no bloquea la escritura, pero sí significa que los datos que se escriben aparecerán como errores cuando lo descifres. En cuanto a la actualización del firmware, el cifrado no no lo impide. El firmware se guarda por separado en la unidad flash y no está ni puede ser cifrado por VeraCrypt.
¿La única posibilidad sería abrir físicamente la unidad flash e insertar algo en ella? ¿Qué tan probable es que eso suceda por alguien que no es el gobierno y cuánto costaría?
Sería mucho más fácil modificar el firmware, pero si la unidad deshabilita correctamente la escritura en el firmware, entonces sería posible modificar físicamente el chip del firmware. Nadie puede decirle la probabilidad de que esto ocurra, pero el costo sería extremadamente bajo. Tenga en cuenta que modificar la unidad flash por sí solo es incapaz de eludir el cifrado.
Supongo que sería diferente para una PC con un disco duro cifrado, ya que podrían incluir malware en el firmware si el BIOS no está protegido por contraseña, pero ¿qué sucede si el BIOS está protegido por contraseña pero aún puede ¿Usar la opción de arranque de múltiples dispositivos e iniciar un sistema operativo Linux desde una unidad flash? (Sé que la PC hace eso). ¿Eso significa que podrían introducir algo en el firmware? ¿Cómo puedo probar si es posible en esa PC?
La contraseña del BIOS no protege contra la modificación del firmware. Consulte esta respuesta .
Si cuatro no es posible, la única posibilidad sería nuevamente abrir la PC e insertar algo en el hardware, ¿es correcto? ¿Qué tan probable es que eso suceda por alguien que no es el gobierno y cuánto costaría?
Sería más fácil modificar una PC porque es más grande y tiene más componentes. Sería muy barato, pero una vez más, nadie puede decirle qué tan probable es ese escenario para su modelo de amenaza en particular.
¿Realmente no hay forma de verificar si insertaron algo en el firmware o de verificar si insertaron algo en el hardware? ¿Cómo puede mantener su información segura si su PC o unidad de memoria flash se puede comprometer sin ninguna forma de verificar si se ha comprometido, además de obtener una nueva máquina?
Es posible verificar el firmware, pero puede ser complicado de configurar. Le expliqué cómo se puede hacer esto en una respuesta a otra pregunta. En la parte inferior de la respuesta hay una lista de recursos adicionales.