「拒否可能なファイルシステム」オプションを裏切る可能性のあるTrueCrypt dataleaks

外側のボリュームでは、もっともらしい否認性はかなり弱いです。結局のところ、パーティションまたはファイルがランダムデータでいっぱいになる可能性があります。

内部ボリュームの場合は少し良いです。TrueCryptパーティションの空き領域はランダムなデータで満たされるため、非表示のボリュームは特別ではありません。

システム暗号化を使用していない場合、OSには、truecryptの痕跡と、存在しないドライブ上のファイルの使用の痕跡が含まれている可能性があります。

外部ボリュームでめったに使用されないOSも少し疑わしいです。

暗号化されたデータ（truecryptまたは他のソフトウェアであっても）は常に奇妙に見えます。テキストドキュメントなどはregularまたはnormalのように見えます。画像、音楽、圧縮データなどを含むファイルには、それを識別するのに役立つヘッダーがあります。プログラム（.exeファイル）でも特定の構造になります。

暗号化されたデータは、他のデータ形式に似ていないランダムなデータとして見えます。疑わしいコンピューターの内部で何かを探していて、完全にランダムに見える大きなファイル（またはパーティション、またはボリューム全体）を見つけた場合...まあ、それは通常のファイルではなく、分析します。暗号化されているに違いない。

では、通常のファイルとは異なる大きなファイルを非表示にする方法は？

Truecryptコンテナー（または他のプログラム）を非表示にするには、通常のアーカイブのふりをします。これは一種のステガノグラフィーであり、非表示になっているデータよりもはるかに大きなファイルが必要です。したがって、実用的な目的では、非実用的です。

ランダムデータを非表示にする別の方法は、他のすべて（またはほぼ）もランダムにすることです。そのため、ランダムなデータが他のコンテンツではない場合でも、ハードドライブのすべての空のスペースに「保存」します。しかし、何かを隠そうとしていることは明らかです。

唯一の真の代替策：だれにもHDDを入手させないでください。そのため、疑わしいファイルが内部にあるかどうかはわかりません。

「拒否可能なファイルシステム」オプションを裏切る可能性のあるTrueCryptデータリークの考えられる原因は何ですか。また、それらを無効にするための対策は何ですか。

TrueCrypt自体は、あなたがしたことを何も思い出さないのが得意です。したがって、リークは主に自分の行為の結果です。

ただし、TrueCryptでは解決できない問題が1つあります。

暗号化されたパーティションがあると仮定します。ランダムなデータが入っています。次に、同じパーティションに対して行った作業（ファイルの編集など）のプリイメージとポストイメージがあるこの状況について考えます。差分分析は、あなたが確かにそのようなパーティションに何かを持っていることを調査者に伝えることができます。さらに悪いことに、ディスク上の特定のセグメントに調査者を特定することさえします。否認があります。

この欠陥は完全にTrueCryptにありますが、修正するには費用がかかります。

TrueCryptが揮発性ディスク（非ライブブートCD）にインストールされて使用されている場合、ボリュームを検出するだけではありません 今日これを見つけました 。

TrueCryptがHDにインストールされている場合、ボリューム、最終アクセス、場所に関する情報が明らかに漏洩し、（一連のスクリプトを介して）キーと暗号化方式を抽出することが可能です。

さらに、OSによっては、システムキャッシュからプレーンテキストを抽出できる場合があります...