как Вы намерены вскрывать этот контейнер, если у Вас НЕТ незашифрованной ОС, работавшей с ним??? Ответа от Вас не последовало
Вы поставили задачу так, что обоснованный рассказ о том, "как найти исходный компьютер" является ответом. Более того, ответом является рассказ о том, как найти компьютер, на котором был подмонтирован этот контейнер хотя бы раз.
Если в Вашем распоряжении нет компьютера, а есть только криптоконтейнер или диск под FDE, то можно сколько угодно рассказывать о том, как бы Вы определили, что это комп от этого диска. Как Вы помните, в правоприменительной практике сплошь и рядом производится выемка отдельных носителей...
К тому же, вы ставите вопрос про общий случай, поэтому смело примем следующую ситуацию:
Пользователь сбекапил на флешку свою домашнюю директорию с криптоконтейнером, а на исходном компе (который был расщеплен на атомы после бекапа) была установлена GNOME; вопрос - о наличии фотографий секретного объекта в контейнере; ответ - распечатка содержимого директории кеша эскизов GNOME. Теперь пойдет (конечно, контейнер в данном случае не "вскрывается", но можно привести еще более корректных примеров, но не нужно)?
Не совсем понял логику изложения - если, как Вы говорите, комп был "расщеплён на атомы" (ну или просто отсутствует в радиусе Вашей досягаемости), то откуда бы в Вашем распоряжении взяться "директории кеша эскизов GNOME"
Однако это, как Вы справедливо заметили, не является "вскрытием" контейнера - мы получаем косвенную информацию о содержимом интересующего нас контейнера. С таким же успехом мы могли бы получить её иными методами, включая некомпьютерные (не имею ввиду неконвенциональное принуждение).
Конечно, Вы будете модифицировать условие каждый раз, когда будет найдено противодействие Вашей задаче (как я модифицирую свой ответ на Вашу "общую" задачу), однако, сути дела это не меняет и процесс этот бесконечный, ведь методов легального технического противодействия криптографии полно.
Когда речь идет о криптографии, задачи надо ставить конкретно, а не "возможно ли взломать AES-256 в исполнении TrueCrypt".
Извините, но это именно Вы начали разговор в предельно общем ключе:
Вскрыть криптоконтейнер можно и за 10 рублей.
...
используете криптоконтейнер без шифрации ОС - получите утечки информации и вскрытие данных за 10 рублей,... используете FDE с шифрацией ОС - поимеют ваши данные с помощью Aperio
Как видите, ничего конкретного ни про систему шифрования, ни про ОС; единственное название - Aperio, но...
===
http://www.cert.org/forensics/ ===
Aperio detects operational signatures left by commercial counter-forensic software and can guide the search for latent data that remains.
==========================
- т.е. данная прога - "ищейка", а не "кракер"...
Со своей стороны я постарался более-менее конкретизировать:
в случае полнодискового шифрования (ну, скажем, продуктом класса DiskCryptor / TrueCrypt / PGP WDE) с использованием "развесистой" парольной фразы на нескомпрометированной системе получить в разумное время доступ к зашифрованной информации без применения неконвенциональных методов будет практически невозможно.
Вы так же утверждали, что можно (с помощью некоей утилиты Aperio) получить доступ (в Вашем исполнении - "поиметь данные") к диску, зашифрованному с помощью FDE.
На мой уточняющий вопрос, расшифрует ли эта утиль (предназначенная, на минуточку, несколько для других целей) наш FDE-раздел, Вашего ответа, опять же, не последовало...
Мой ответ: да, доступ к зашифрованным данным получит, даже если контейнер отмонтирован. Остальное ищите в поисковиках.
По поводу Aperio всё найденное мною гласит, что эта прога НЕ расшифровывает криптоконтейнеры и криптотома, а лишь определяет (пытается, во всяком случае) их наличие... ну или ещё какие следы работы counter-forensic tools. Отсыл в дискуссии "к поисковикам" есть, ИМХО, моветон - даже если Вы считаете, что я не умею пользоваться ими, то что Вам мешает снизойти до того, чтобы дать конкретную ссылку, как Вы это уже делали здесь???
В конце концов, скорее отыщется инфа, что "прога имярек" делает "то-то", чем отрицание, мол, "прога имярек" ни в коем случае НЕ делает то-то и то-то...
Уважьте оппонента - признайтесь, где Вы видели инфу, что Aperio может получить доступ к закриптованной информации на отмонтированном томе???
http://computerforensics.parsonage.co.uk/downloads/TheMeaningofLIFE.pdfThe Distributed Link Tracking Service maintains its link to an object by using an object identifier
(ObjectID). An ObjectID is an optional attribute that uniquely identifies a file or directory on a
volume. An index of all ObjectIDs is stored on the volume. Rename, backup, and restore operations
preserve object IDs. However, copy operations do not preserve ObjectIDs, because that would
violate their uniqueness. ObjectIDs are not maintained on FAT systems or removable media. Что ж, признаю - в этом вопросе Вы меня подловили "на горячем" (кажется, гордыня входит в список смертных грехов?)
: про Object ID я, по правде сказать, забыл (возможно оттого, что на своих системах всегда отключаю DLT - сие сказано не отмазки ради, но точности для:)).
Другое дело, что нам это почти ничего не даёт для решения основной задачи - доступа к информации в криптоконтейнере: даже при наличии включенного DLT и зафиксированного в Object ID MAC`а мы лишь узнаем, к какому компу подключался сей носитель. Причём если кто-то возьмёт на себя труд отключить бортовую сетку и пользоваться дискретной сетевой карточкой, то изъяв последнюю, он может не беспокоиться - MAC в Object ID`s на носителе не совпадёт с MAC`ами, имеющимися на доступных для исследования компах. Опять же, если загрузиться с LiveCD, то в основной ОС компа не останется никаких следов работы с контейнером - тогда даже знание, что с данным носителем работали на данном компе ничем Вам не поможет...
//Интересно, если этот LiveCD будет *nix`овым, а ФС на носителе - NTFS, то будет ли тот же ntfs-3g так же писАть МАС в Object ID (при отсутствии сервиса DLT)
Надо перечитать спеки, чтобы не оконфузиться, если что... И вообще, пора начинать детально штудировать "Криминалистический анализ файловых систем" Брайана Кэрри.
Кстати, спасибо за ссылку - очень неплохо расфасовано всё в этом документе (положил в библиотечку).
В следующий раз задавайте конкретные вопросы, например: "использую BestCrypt, Windows 2003, внешний хард SSD, ФС на нем - NTFS, на харде в контейнере файлы DOC, JPEG, EXE, пароль хороший. Все/часть всего этого вчера забрали. Скажите, мне хана?"
Не вопрос!
Использую TrueCrypt 6 в traveller-mode (на выбор - файл контейнера или криптораздел), работаю с закриптованными данными (какими - не скажу, Вам их придётся добыть самому
) при помощи загрузки с *nix-based LiveCD (не думаю, что роялит название конкретного дистра, ну пусть будет PuppiRus или ALT), который монтирует в памяти рамдиск, где и оседает весь "мусор" от сессии. В случае криптоконтейнера - он лежит на произвольной ФС носителя (пусть будет USB-хард) ... ладно, для пущей совместимости пусть это будет NTFS или (для небольших контейнеров) FAT32, которую (ФС) понимает мой LiveCD. Имея такую конкретику, Вы по-прежнему будете утверждать, что сможете добраться до моих данных, имея на руках носитель? И чем Вам в этом поможет комп?
Ну и в заключение: надо составить список угроз, который ожидает любителей пошифровать диск, и выделить из них наиболее реальные. На данный момент, наиболее реальные угрозы являются наиболее опасными, а наименее реальные (похитили чей-то (неизвестно чей) носитель из анонимной банковской ячейки, на котором зашифрованный контейнер с текстовыми файлами, которые просматривали лишь с помощью cat) наименее опасными.
Собственно, я для этого и вылез из read-only - чтобы обкатать в т.ч. и "модели угроз" с участием, так сказать, противной стороны (формально подходя к вопросу, мы с экспертами "играем" за разные команды...).
По поводу "похитили чей-то носитель" Вы преувеличиваете - как я уже писАл выше, речь идёт о носителе, изъятом во время неких процессуальных действий: он вполне идентифицируем по месту изъятия, но может быть безвозвратно отчуждён от компа, набивавшего его данными... Т.ч. и эта "модель" вполне воспроизводима на практике...
