¿Es posible inferir que una partición truecrypt oculta es probable que esté presente

7

Truecrypt contiene una función que te permite crear un volumen oculto . Se dice que no se puede probar si existe un volumen oculto. Sin embargo, ¿es posible inferir del estado de los datos en el disco que es muy probable que exista un volumen oculto? En primer lugar, si la partición no oculta no ocupa todo el disco, es una buena pista. Además, la parte no utilizada probablemente no contendría aleatoriamente (buscando al azar porque está encriptada) sino más bien como fragmentos de archivos antiguos (porque el sistema operativo no sobrescribe los datos al eliminarlos). ¿La existencia de un montón de espacio vacío aleatorio en su disco no infiere que es probable que haya una partición oculta, similar a la forma en que establecen que cuando se usan particiones alojadas en archivos, no hay negación plausible porque no hay ninguna razón, aparte de un archivo cifrado, para tener un archivo lleno de datos aleatorios en su disco.

    
pregunta Kibbee 20.11.2011 - 02:34
fuente

3 respuestas

6

La negación plausible en el contexto de volúmenes encriptados ocultos es un nombre poco apropiado. "Posibilidad de negación" sería un nombre mejor. No hay manera de confirmar la existencia de tales volúmenes sin conocer la frase de contraseña, pero ciertamente hay formas de inferir su existencia.

Si el volumen oculto no se encuentra dentro de un volumen simple, la presencia de un espacio desocupado completamente aleatorio será una bandera roja. Si el volumen oculto está dentro de un volumen simple, menos; ya que los volúmenes TrueCrypt no se pueden redimensionar, es perfectamente plausible que hayas creado un volumen de 20 GB solo para pruebas futuras, incluso si ahora solo usas 2 GB.

Una simple acción activa para inferir la existencia de un volumen oculto es intentar llenar ese espacio de aspecto vacío. Si se opone o se contrae, si muestra algún archivo adjunto a ese espacio de aspecto vacío, ha confirmado la sospecha de que efectivamente hay un volumen oculto. Por lo tanto, si tiene un volumen oculto, es mejor que se sienta cómodo con la idea de que se puede eliminar en cualquier momento.

Una técnica general para inferir la existencia de un volumen vacío es buscar rastros de acceso a una unidad ausente. Su historial de documentos recientes, su historial de línea de comandos, los registros de su sistema pueden contener referencias a ese volumen, posiblemente (especialmente con respecto a los registros del sistema, o incoherencias entre los registros del sistema y los registros de aplicaciones) de una manera que muestre que el volumen no fue un disco extraíble que no tienes en tu persona. Así que es mejor que no accedas a ese volumen oculto con tu sistema operativo regular.

Puedes ocultar todo un sistema operativo en el volumen oculto. Entonces, lo que podría ser sospechoso es cuando no usaste tu sistema operativo normal. ¿Así que llevaste una computadora al país y nunca la arrancaste? ¡Suspicaz! Una buena historia de portada sería hacer que su sistema operativo aparente se ejecute solo en la RAM y no guarde nada en el disco (es solo para la web y el correo, y mi correo está almacenado en el servidor, de esta manera no me preocupan los virus ”).

La existencia misma de volúmenes ocultos es, de hecho, un poco perjudicial, porque no puedes refutar fácilmente su presencia. Lo mejor que puedes hacer es estar dispuesto a llenar tu espacio de apariencia vacía a pedido, lo que puede no aliviar por completo la sospecha de que tuviste un volumen oculto.

Si desea ocultar algunos datos, el espacio vacío de un volumen encriptado aparente es ideal desde el punto de vista de la criptografía pura, pero no tanto cuando observa la imagen de seguridad más grande. Hay demasiada discrepancia entre el vacío aparente y el contenido valioso real almacenado allí. Sugeriría ocultar datos dentro de archivos grandes que ocurren naturalmente, como videos; eso al menos le da una razón para que el espacio esté ocupado por datos que posiblemente considere valiosos.

    
respondido por el Gilles 20.11.2011 - 16:36
fuente
5

Solo puede tener un volumen oculto en un volumen existente. Puede ser posible detectar un volumen truecrypt, pero inferir si hay un volumen oculto o no?

Si no hace creíble el contenido del volumen externo, entonces la gente podría inferir que hay un volumen oculto que realmente contiene cosas valiosas. No hay forma de demostrarlo, sin embargo, su pregunta es sobre inferir.

Si alguien se las arregla para encontrar un contenedor de TrueCrypt, adivina la contraseña para el outervolume y encuentra un montón de archivos valiosos fácilmente reemplazables, entonces probablemente inferirían que hay un volumen oculto. La idea de un volumen oculto solo funciona si puedes convencer a las personas de que el volumen externo es el único, lo que significa que debería contener elementos que valgan la pena cifrar.

    
respondido por el Sonny Ordell 20.11.2011 - 06:57
fuente
1

Su respuesta está en la página a la que se vinculó.

  

El principio es que un volumen TrueCrypt se crea dentro de otro volumen TrueCrypt (dentro del espacio libre en el volumen).

y

  

... el espacio libre en cualquier volumen de TrueCrypt siempre se llena con datos aleatorios cuando se crea el volumen ** y ninguna parte del volumen oculto (desmontado) se puede distinguir de los datos aleatorios.

    
respondido por el mikeazo 20.11.2011 - 04:18
fuente

Lea otras preguntas en las etiquetas