» TrueCrypt (часть 2)

aristarh_1970
Констатирую факт. Я, если что, не из тех, кто считает закон непререкаемым руководством к действию. Но - предупрежден, значит, вооружен.

snkreg
Смотрим: http://www.truecrypt.org/docs/?s=volume-format-specification. А также читаем обширный раздел слева про Plausible Deniability. Не все так просто в этом мире.

U3 latest?

TheBarmaley

Цитата:

посему была и остаётся проблема "сокрытия наличия"..

Если контейнер небольшой (1-50 мб), то назовите его "~DFC357E75558BC9329.TMP", закиньте в папку TEMP и всего делов.
Если же у вас гиговые контейнеры (или раздел зашифрованный), то никаких спец утилит для отыскания оных не потребуется - подозрительные файлы находятся, довольно быстро, руками.


Цитата:

...и архивирования с нулевой компрессией..

Для чего это?

Цитата:

[/q]
[q]Смотрим: http://www.truecrypt.org/docs/?s=volume-format-specification

Точку из ссылки убирайте, а то не открывается с ней

GCRaistlin
Если Вам не трудно - в двух словах развейте мои заблуждения, я не достаточно силен в английском, чтобы досконально понять специфику формата.

[more] Мне вообще кажется, что возможность отрицания наличия скрытого контейнера, надо рассматривать в трех вариантах.
Вариант №1 - вы никому нах не нужны, на вас ничего конкретного нет, но на вас наехали, так сказать по беспеделу (изъяли все носители информации, устроили обыск и т.д.), в надежде что вы испугаетесь и сделаете то что от вас требуется. Тут всё прокатит - это понятно.
Вариант №2 - так сказать, тот случай когда уже без адвоката не обойтись. Пытать вас ни кто не будет, процентов на 99%, ну может закроют на пару месяцев. Отрицание всего на свете вероятно сыграет свою положительную роль. (Сократит срок и сбережет здоровье, а чьи то там предположения, что вы что то там скрываете, к делу не пришьешь)
А вот вариант №3 - вы практически официально объявлены врагом народа №1, вопрос по вашему делу давно уже решен. Вопрос остался только по собранию доказательной базы. Понятно, что если на винте осталось свободное пространство, значит там что то есть. Тут и без экспертизы понятно. Только зачем пытать то, если ты не террорист и не заложил где то бомбу. Если пойдёш на сотрудничество со следствием получишь вместо четырех например только тир или два. Мне кажется, посидев в СИЗО, месяцев этак 9-12, любой согласится.

Вы мне вот что лучше скажите. у меня такая ситуация:
Под Windows сам SSD диск себя ни как не обнаруживает. Т.е. работает как бы скрыто. Разбит на две части, одна часть отведена под режим гибернации, с ней работает драйвер материнской платы; а другая часть отведена под системный кэш, с которым работает ещё одна утилита (из под DOS). (К тому же сама SSD шифруется на аппаратном уровне.) Такая хитрая система кэширования не могла бы служить причиной утечки информации с зашифрованного системного диска??? Как вариант, сделать SSD обычным диском, удалив все не нужные драйвера. Но можно ли обойтись без этого??? И оставить всё как есть??? [/more]

Цитата:

в двух словах развейте мои заблуждения

Специалист без труда найдет у вас на компе файлы, которые соответствуют по признакам "truecrypt volume"
А ранее в ветке косвенно указывалось, что если надо, то еще и расшифрует

SFC
Ну так по каким критериям он его найдет, если это просто последовательность байт? И как расшифрует, если микшевать алгоритмы и шифровать блочно сразу несколькими? Это уже не говоря о криптостойком пароле...
P/S Цитирую:
"Ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt как с программой, его создавшей, ни в какой форме и рамках)."

Razummoff
по SSD нужно смотреть на особенности записи и хранения инфы на них. читал давненько, что с шифрованием и его чисткой существуют особенности. ((( не помню где брал эту статью..

Цитата:

Ни один том TrueCrypt не может быть идентифицирован

А этого мало:
...
64 4 Encrypted ASCII string "TRUE"
...
76 16 Encrypted Reserved (must contain zeroes)
...
132 120 Encrypted Reserved (must contain zeroes)

а еще возможно:
100 ... вообще НЕ криптовано
124 ... вообще НЕ криптовано

Я не говорю что 100-процентная идентификация, но подозрение на ... вполне можно найти.

WildGoblin

Цитата:

Если контейнер небольшой (1-50 мб), то назовите его "~DFC357E75558BC9329.TMP", закиньте в папку TEMP и всего делов.

Чтобы потом какой-нибудь CCleaner его удалил?

WildGoblin
Цитата:

назовите его

да без разницы чё/как назвать и куда засунуть.. если уж контейнер лежит на несъёмном винте, тот же хантер его найдёт на раз..

шо же касается ручного поиска по размеру, без стороннего струмента тут ваще никто ничё предъявить не смогёт..
ну, лежит хз какой файл с хз каким именем/расширением, ну и ква? мало ли чё на винте валяется..
эдак вы, родные, мне ещё и пагефиле.сис к особосекретным томам причислите.. ;))

не-не, речь-то идёт именно о действенном сокрытии, которое и тулзы всякие не ущучат..
в смысле, шоб даже саму предъяву на основании "возможно является томом" нельзя было сделать..

Цитата:

Для чего это?

дык, это как раз и есть один из методов "противодействия поиску".. :)

всё просто - если есть автоматизация поиска, значит, надо сделать так, штоб автопоиск ничё не нашёл, а ручной поиск был бы полностью нецелесообразен по затратам времени..

ну, в частности по вопросу об архивах с нулевой компрессией..
1. размер архива может быть ниипически большим? угу..
2. венда может работать с содержимым зип-архива как с обычной папкой? угу..
3. заголовок архива стандартный и тот же хантер не вякнет, шо это "возможно чё-то спрятанное"? угу..
4. нулевая компрессия не сказывается значительно на скорости работы? угу..
5. никакой закон не запрещает держать в архиве мильён файлов самого произвольного имени/размера и прочая? угу..
6. можно ли держать на винте мильён подобных архивов, в одном из которых реально лежит контейнер? угу..
7. можно держать мильён подобных архивов в адс? угу..
ну, и т.д.. :))

вот из-за этих "угу" и было написано, шо это - один из возможных вариантов "правдоподобного отрицания".. :)
не "стопудовый", каэшно, метод, есть и у него куча "минусов".. но вполне сойдёт как вариант, пока что (!) обходящий имеющиеся (пока что) поисковые тулзы..

упреждая лобовое возражение "архив можно распаковать и проанализировать", скажу, шо не зря говорил о "мильёне" файлов/архивов - слишком уж затратно и нецелесообразно оно.. сталыть, никто и искать не будет.. ;)

но, ессно, если же за хвост берут "по-настоящему", то всё это лишнее.. ибо есть паяльник и иже.. :)

---

Razummoff
всё правильно, про три варианта наезда.. сопссно, мне, как технарю, интересно исключить то, что могу.. т.е. если можно каким-либо техническим приёмом убрать варианты 1 и 2 и/или "снизить давление" при любом варианте наезда, то я должен это сделать.. причём, весьма желательно, заранее.. :)

шо же касается варианта №3, тут всё тупо и просто - технического решения нет и быть не может по определению.. :(

Добавлено:
Engaged Clown
Цитата:

Чтобы потом какой-нибудь CCleaner его удалил?

ну.. можно добавить клинеру в исключения.. :D

SFC
Так значит разрабы врут(( Жаль..
А как же энтузиасты, копающие код сабжа?

GCRaistlin

Цитата:

каждый, кто использует TrueCrypt, нарушает закон: использование несертифицированных ФАПСИ криптографических средств. Штраф "физикам"

Пруф на статью?

SFC

Цитата:

...
64 4 Encrypted ASCII string "TRUE"

Нету там этого "TRUE" По крайней мере в открытом расшифрованном виде.

Читал где-то, что определить зашифрованность можно только по большому значению энтропии для контейнера - дескать столь случайный набор байт в природе не встречается. Но это тоже на доказательство не тянет...

xChe
Абсолютно прав.
А подобную энтропию даст любой фриварный затиральщик данных, забивающий область случайными данными. Можно сослаться, что семейные видеозаписи так затёр

Engaged Clown

Цитата:

Чтобы потом какой-нибудь CCleaner его удалил?

CCleaner сам по себе запускается?

TheBarmaley

Цитата:

если уж контейнер лежит на несъёмном винте, тот же хантер его найдёт на раз..

"хантер" ищет файлы не содержащие известные ему заголовки (за минуту можно написать прогу прописывающую нужный заголовок контейнеру и потом возвращающую оригинальные байты) - заархивируйте контейнер и прилепите его большому джипегу (у меня вот полно jpg и tiff размером 10-50-100 мб) и при поверхностном осмотре никто и ничто этот контейнер не найдёт.

Цитата:

эдак вы, родные, мне ещё и пагефиле.сис к особосекретным томам причислите.. )

Вы разговор в болтологию скатываете - pagefile.sys достаточно тем же листером (тоталкоммандера) открыть чтобы понять что это не контейнер.

Цитата:

не-не, речь-то идёт именно о действенном сокрытии, которое и тулзы всякие не ущучат..

Действенное сокрытие это скрытый контейнер внутри контейнера трукрипта - всё остальное от лукавого и выглядит чем-то действенным только в глазах незнающих людей.

Цитата:

в смысле, шоб даже саму предъяву на основании "возможно является томом" нельзя было сделать..

Это очень легко сделать - достаточно всего лишь не создавать зашифрованный контейнер/том.


Цитата:

вот из-за этих "угу" и было написано, шо это - один из возможных вариантов "правдоподобного отрицания"..

Зачем городить огород когда можно просто не выдавать ключ от контейнера?

(Некоторый наивные школьники думают, что с обыском приходят в надежде найти что-либо - бывает конечно и так, но в основном приходят изымать конкретные вещи. )

Цитата:

шо не зря говорил о "мильёне" файлов/архивов - слишком уж затратно и нецелесообразно оно.. сталыть, никто и искать не будет..

Тем же Forensic Toolkit (от Access Data) всё очень быстро находится.

Цитата:

Нету там этого "TRUE"

Согласен, создал маленький контейнер и реверсил от и до, смотрел в ольке и тинихексе - ничего не нашел..
Господа, предлагаю расставить точки над палевностью контейнеров и правдоподобным отрицанием действительности, а то непонятки из за разногласий возникают.
На счет случайной последовательности байт - можно создать контейнер с любым расширением мол файл "своей" программы. А так же да - любой эрайзер создаст тоже самое.
SFC
Взвесил я твои слова - не согласен..
Смысл в том, что не взломают... Блочная шифрация, криптостойкий пароль, и еще кейфайл - и все идут лесом...
Давайте впредь аргументированные диалоги вести.

Седня поэксперементирую с чем-нить не критичным к потере - попробую воспроизвести ситуацию и отпишусь.

truecrypt можно использовать для качественного стирания информации.
пустой раздел или том лепим куда надо и вуаля! наводняем хаосом. хай мучаются)

а про работу побайтово вообще не понял.
ну допустим с 0 до 64 соль, или тем более следующие четыре байта.
ну есть. а чем расшифровывать-то будут.
по мне.
хаотичный набор знаков. даже в анализ томик загнал и посмотрел, нету анамалий.
вернее она одна, слишком беспорядочный набор.
даже не нужны никакие размазывания и отбеливания.

и уж точно не дождешся статьи, что кто-то отломал архив не брутом.
хотя у меня уже пробегала мысль, взять зашифрованный архив и свой с знамым паролем, сковырнуть первые 256 и поменять.
и будет облом с таким гибридом)

вобщем если мало truecrypt'а, можно пользовать довеском стенографию.
но оффтопя, не понимаю, зачем кто-то свои домашние машины закатывает в truecrypt?
прям как с электрификацией военных объектов ссср, ни одного шпиона, зато своих по пьяни или еще как, дохера и трошки.

WildGoblin
Цитата:

заархивируйте контейнер и прилепите его большому джипегу

ну, дык ить, и я про то же.. ;)
в том смысле, шо
Цитата:

при поверхностном осмотре

действительно
Цитата:

никто и ничто этот контейнер не найдёт

и задачка сокрытия от простого "наезда" решима..

Цитата:

разговор в болтологию скатываете

вопчем=то, про пагефиле - это шутка была.. если кто не понял.. ;)
речь ведь была о бессмысленности ручного поиска по размеру.. т.е. безо всяких доп.тулз..
листер от тотала, кстати, тоже вполне можно относить к дополнительным средствам поиска.. :))

Цитата:

Действенное сокрытие это скрытый контейнер внутри контейнера трукрипта

нащёт действенности полностью согласен.. но вот беда - контейнер-то "оболочка" при этом обнаруживается.. сталыть, и "искатели" (если они не полные дятлы) вправе предположить, шо есть и скрытый.. и, соответссно, вправе "копать глыбже".. поэтому всё-тки весьма желательно, шоб и "оболочку" не нашли.. за тем, сопссно, и нужен весь огород с сокрытием тома.. :)

Цитата:

Зачем городить огород когда можно просто не выдавать ключ от контейнера?

имею встречный вопрос - а зачем ваще давать повод к тому, чтобы этот ключ начали из тебя вытрясать?.. ;)
нет повода - спим спокойно, есть повод - надо напрягаться и придумывать всякие отмазы..
не-не.. лично я предпочитаю в таких случаях даже повода не давать.. :)

ну.. если уж на то пошло - не имею ни малейшего желания облегчать кому-либо поиск..
и если смогу "ищущему" задачу осложнить, мне печенька, а ему - хрен с маслом.. :)

Цитата:

Тем же Forensic Toolkit (от Access Data) всё очень быстро находится

а что находится-то? пруфлинк можно?
и именно о том, шо сия тулза реально нашла том сабжа в архиве, содержащем туеву хучу файлов..
на всякий случай - тут глянул, в лоб не узрелось..

snkreg

Цитата:

предлагаю расставить точки над палевностью контейнеров и правдоподобным отрицанием действительности

А чего расставлять-то? Читаем мануал, там все расставлено. Если вкратце: взломать контейнер TrueCrypt при правильном использовании нельзя. Скрыть наличие контейнера - тоже. Скрыть наличие скрытого контейнера внутри обычного - можно. Весь вопрос в правильном использовании программы. Сложное это дело. И скучное.


Цитата:

Пруф на статью?

Вот тут неплохо написано: http://forum.ixbt.com/topic.cgi?id=11:34551-8.

Добавлено:
folta

Цитата:

не понимаю, зачем кто-то свои домашние машины закатывает в truecrypt

Пока менты на дом не пришли - действительно, непонятно. Зато как придут - сразу ясно станет. Правда, поздно.

TheBarmaley

Цитата:

...поэтому всё-тки весьма желательно, шоб и "оболочку" не нашли..

"Оболочку" не могут найти - могут только предположить что это контейнер.
Спрятать же так контейнер что бы его вообще не было нигде - тут какое-то колдунство нужно (не имеющее, разумеется, отношения к компьютерному форуму).

Цитата:

имею встречный вопрос - а зачем ваще давать повод к тому, чтобы этот ключ начали из тебя вытрясать?..

Вот и не давайте этого повода - будьте законопослушным и храните всю важную информацию только у себя в голове (голову можно прятать в песок, но IMHO такая стеганография вряд ли поможет.).

Цитата:

и если смогу "ищущему" задачу осложнить, мне печенька, а ему - хрен с маслом..

Наивно всё это звучит.

Цитата:

а что находится-то? пруфлинк можно?

Пруф на то как я сейчас экспериментировал?

Цитата:

и именно о том, шо сия тулза реально нашла том сабжа в архиве, содержащем туеву хучу файлов..

Тулза реально нашла, в архиве с большим количеством различных файлов, файлы с неизвестными ей заголовками - некоторые из этих файлов были контейнерами.
(Кстати - TCHunt вообще ничего не нашёл, а EDD заподозрил абсолютно обычный диск в том что PhysicalDrive1, Partition 1 might be an encrypted volume, or contains a damaged boot sector. )

Цитата:

на всякий случай - тут глянул, в лоб не узрелось..

Не будет же серьёзная контора писать что они могут достоверно определить контейнер TC - определяются, как я уже писал выше, неизвестные файлы.

Наверное нам лучше в эту тему перебраться!

folta

Цитата:

зачем кто-то свои домашние машины закатывает в truecrypt?

Да даже элементарно квартиру если обчистят например, не дай бог...
А комп не сразу продадут а сперва глянут - что там внутри? А там внутри - опаньки...

WildGoblin
такое ощущение, что мы говорим чуток о разных вещах..
я - о задаче скрыть контейнер и не дать даже повод предполагать, что возможно (!) есть наличие шифрованной инфы..
ну.. началось же всё с хантера, который позволяет найти "нечто", дающее повод к зацепке со стороны "ищущих"..
т.е. речь была ни разу НЕ о степени корректности/точности обнаружения.. а о том, как убрать повод прицепиться.. :)
ведь в большинстве случаев этого более чем достаточно.. и потому-то и интересны способы и методика "прятания"..

нащёт "законопослушности" - никогда и ни при каких условиях нельзя быть ни в чём уверенным.. имхо. ессно.. :)
и в голове "всё" удержать нереально.. и поэтому, отлично понимая несоизмеримость собственных ресурсов и возможностей "искателей", всё-тки продолжаю "наивно" исходить из целесообразности возможного поиска/взлома.. и "наивно" считать, что никто не будет тратить время/средства, НЕ соответствующие результату.. ну.. утрированно - никто ведь не станет часами искать с металлодетектором сейф, если он спрятан в ничем не примечательной хибарке без замка на дверях.. :)

что же касается упомянутого FTK и "серьёзной конторы" - и чё? ну и пусть эта тулза также может найти
Цитата:

неизвестные файлы

ей, замечу, неизвестные.. то бишь, по сути, ничем сей коммерческий продукт не отличается от халявного хантера..
в смысле - распакуй архив(ы) и ищи хантером.. до синего.. а "если нет разницы - зачем платить больше?" (ц :)

Цитата:

Наверное нам лучше в эту тему перебраться

да сопссно, всё уже и так сказано.. нет смысла..

folta

Цитата:

вобщем если мало truecrypt'а, можно пользовать довеском стенографию.

А можно подробнее? Если имеем том 10Гб. И еще вопрос по поводу томов - целостность данных может быть нарушена, а если да - то по каким причинам? Ну к примеру в дропбоксе криптоконтейнер, который довольно часто сливается и заливается и тд. Потому, что если он "побьется" - я полагаю, что восстановить будет невозможно, это же не архиватор с инфой для восстановления. Если сталкивались с подобным - буду раз услышать Ваше мнение.

Штирлиц и Аня Чапман нервно грызут ногти!

TheBarmaley

Цитата:

я - о задаче скрыть контейнер и не дать даже повод предполагать, что возможно (!) есть наличие шифрованной инфы..

Это невыполнимая задача.

Цитата:

т.е. речь была ни разу НЕ о степени корректности/точности обнаружения.. а о том, как убрать повод прицепиться..

Прицепится можно к чему угодно - у вас есть джипеги? Да?! Значит вы там, с помощью стеганографии спрятали контейнер зашифрованный, а по сему пожалте на дыбу!

Цитата:

нащёт "законопослушности" - никогда и ни при каких условиях нельзя быть ни в чём уверенным..

Да - совершая противоправные действия, надо быть готовым, что когда-нибудь вас возьмут за филейную часть.

Цитата:

ей, замечу, неизвестные.. то бишь, по сути, ничем сей коммерческий продукт не отличается от халявного хантера..

Ага и правда - Win8 ОС и MenuetOS тоже ОС и стало быть разницы между ними нет!

Цитата:

в смысле - распакуй архив(ы) и ищи хантером.. до синего.. а "если нет разницы - зачем платить больше?" (ц

Помнится какой-то школьник, тут в топике, предлагал затруднить поиск контейнеров путём размещения их во множестве архивов с множеством же файлов!

snkreg

Цитата:

А можно подробнее?

начнем с того, что фактически, я с ним играюсь и храню статическую информацию.
не более. так что много сказать не смогу.

у меня ни одного тома) только контейнеры
мой метод на 10 гиг не пролезет. тут скорее Obfuscator нужен, вот этот например:
http://embeddedsw.net/MultiObfuscator_Cryptography_Home.html
а я пользуюсь:
http://embeddedsw.net/OpenPuff_Steganography_Home_ru.html
давно хочу создать темы по ним на руборде. но все никак)
вобщем, мои маленькие томики размазываю по файлам. таки дела.
этот метот уж точно - "правдоподобное отрицание причастности".
нет контейнера - нет проблем.
в мануале описывается как дополнительные куски размазываются и выбеливаются, чтобы не не было даже аномалий, структура длжна совпадать с обыкновенным типом файла (будь то WAV или 3GP)
есть огромный минус.
нужно каждый раз вручную извлекать и возвращать том.
для постоянной основы, это неудобно и непривычно.
но для хранения особо важных данных, на мой взгляд, само то.

а про дропбокс даже не ведаю.
если бы заливал, сверял потом md5(или что там для сверки). хорошо легло или нет.
зеркало естественно.
так как контейнеры в инет не складирую, то битых не встречал.
поэтому добавить ничего не могу.

Цитата:

целостность данных может быть нарушена, а если да - то по каким причинам?

один байт отвалился или изменился и все. приехали.

ну. я даже мануалов почти не читаю по программам, иногда листаю.
так что, можно сказать прямо, несведущ.
может кто более информативно подкован, подскажет вам.
а я так, балуюсь с truecrypt'ом, по прямому назначению(кроме контейнеров) не пользовал

WildGoblin
Цитата:

какой-то школьник

(скромно потупив глаза) да, это был я.. но мне почему-то нифига не стыдно.. :)))
видимо, потому, что всё-тки легче найти отдельно лежащую песчинку, чем искать её в куче среди сто-пицот тыщ других.. :Ь

по остальному - спорить не буду, не вижу смысла.. не вопрос, вопчем, останемся при своих..
т.к. задача убедить принципиально неубеждаемого не стояла.. и она также невыполнима.. :)

2All
Позволю себе усомниться во всех обсуждаемых способах "сокрытия контейнеров" потому что:
1. Мы находимся в России, следовательно при наличии физического доступа к владельцу контейнера все эти ваши "отрицания" и тем более "правдоподобные отрицания" могут не прокатить - вы сами всё очень подробно расскажете.
2. Зачем особо скрывать контейнер если True Crypt обеспечивает достаточную стойкость защиты? Даже если он лежит на рабочем столе в файле с расширением .tc и имеет иконку TC, то подбор пароля брутфорсом займёт энное количество лет. Это при условии использования бодрого пароля и отсутствии физического доступа к владельцу контейнера.
3. Я конечно не юрист, и никогда не опущусь до этой поганой профессии, но мне почему-то кажется что в использовании СКЗИ физическими лицами ничего противозаконного нет.

Какие будут соображения?