Форум ''Интернет и Право''
22 Ноября 2024, 19:12:42 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 3 [4] 5 6 ... 20   Вниз
  Печать  
Автор Тема: Шифрование диска, поможет ли?  (Прочитано 163791 раз)
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #30 : 11 Июня 2009, 15:55:55 »

Цитировать
Только эти миллионы сначала нужно взять где-то, чтоб заплатить.

Вскрыть криптоконтейнер можно и за 10 рублей. Все зависит от ситуации. Только вот можно потом уже и ноликов приписать, от жадности Веселый

Цитировать
Имхо, в случае полнодискового шифрования (ну, скажем, продуктом класса DiskCryptor / TrueCrypt / PGP WDE) с использованием "развесистой" парольной фразы на нескомпрометированной системе получить в разумное время доступ к зашифрованной информации без применения неконвенциональных методов  будет практически  невозможно. Если я что-то упустил из виду, то пусть меня поправит ув. ntldr, присутствующий здесь же, бо он (судя по моим многолетним наблюдениям за ним на pgpru.com ) должен быть в теме как мало кто другой...

От себя могу добавить: используете криптоконтейнер без шифрации ОС - получите утечки информации и вскрытие данных за 10 рублей (речь не идет о непрактичных утечках криптоключей в виде кусков оперативной памяти, которые так любят на pgpru обсуждать), используете FDE с шифрацией ОС - поимеют ваши данные с помощью Aperio Веселый При грамотном подходе как на стадии изъятия техники у параноиков, так и на стадии экспертизы криптография не является проблемой (хотя есть исключения). К сожалению, информации по данной проблеме на русском языке мало, да и не любят ее налево-направо рассказывать, особенно производителям криптографических продуктов Улыбающийся
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #31 : 11 Июня 2009, 16:51:44 »

В том случае, который описывался было достоверно известно, что пароль жулик знает, т.к. он в присутствии полиции попытался им воспользоваться для уничтожения данных.
Вы наверно что-то путаете, я не про конкретный случай, я про санкцию статьи в их УК говорил.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #32 : 11 Июня 2009, 17:14:21 »

2 eleron:
Цитировать
используете криптоконтейнер без шифрации ОС - получите утечки информации и вскрытие данных за 10 рублей (речь не идет о непрактичных утечках криптоключей в виде кусков оперативной памяти, которые так любят на pgpru обсуждать)

М-ммм... даже не знаю, чего в этой фразе больше - категоричности или оптимистичности.
Улыбающийся
Хорошо, вот Вам конкретное задание:

Вам в руки попадает (найден при обыске) некий носитель (DVD/BlueRay диск, флешка, харддиск). На нём Вы обнаруживаете наличие некоторого кол-ва файлов - как известных Вам, так и неизвестных (отсутствующих в базе сигнатур forensic-программ, которыми Вы пользуетесь). Вы подозреваете, что какие-то из этих файлов могут являться криптоконтейнерами. У Вас НЕТ информации, на каком компьютере могли создаваться эти файлы - т.е., нет в наличии ОС, которую Вы могли бы допросить.  
Оставляя в стороне вопрос о том, каким образом Вы намерены идентифицировать контейнер, спрошу главное - как Вы надеетесь вскрыть его (напомню, мы говорим о стойком крипто с правильным паролем)Непонимающий О каких "утечках" тут может идти речь???
//Подчёркиваю ещё раз: имеющийся у Вас носитель НЕ системный, с которого запускались ОС и прога, работавшие с контейнером - это просто некоторое хранилище информации. Работа с контейнером велась на неизвестном Вам компе (либо на известном, но ОС стартовала с LiveCD, на котором была расположена и криптопрограмма в traveller-mode). //

Цитировать
используете FDE с шифрацией ОС - поимеют ваши данные с помощью Aperio
Да поправит меня ув.Igor Michailov (упоминавший Aperio на форуме computer-forensics-lab.org), но мне всегда казалось, что Aperio - это утилита для обнаружения в системе наличия counter-forensic tools либо следов их работы.
Системы FDE по определению находятся на зашифрованных ими разделах, соответственно, чтобы Aperio (или аналогичный софт) смогли обнаружить FDE-программу, необходимо вначале получить доступ "внутрь" криптораздела, т.е., расшифровать его. Таким образом, Aperio НЕ сможет "поиметь" данные на крипторазделе. Согласитесь, несколько неуклюже получается (это я про ссылку на Aperio)?

Цитировать
При грамотном подходе как на стадии изъятия техники у параноиков, так и на стадии экспертизы криптография не является проблемой (хотя есть исключения).

А Вы не будете столь добры пояснить (для обеих стадий), в чём, по-Вашему, заключается "грамотность" подхода???

По изъятию - если оставить в стороне налёт спецназа с молниеносным обездвиживанием всех в районе компьютерной системы, которую требуется "взять тёпленькой" (читай, включенной и с примонтированными крипторесурсами), то в большинстве случаев изымающие получают в своё распоряжение уже выключенную систему (способов сделать это в экстренном порядке хватает). И тогда криптография, говоря по-Вашему, становится уже проблемой для стадии экспертизы (см. выше).
ИМХО, нападающие могут надеяться на то, что обороняющиеся могут допустить оплошность, но это слишком зыбкое основание для безаппеляционных утверждений о некоем гипотетическом "правильном" или "грамотном" подходе.
//Про нетехнические мероприятия по предварительной компрометации защиты в рамках ОРД я принципиально не говорю - речь у нас, как Вы помните, идёт о преодолении стойкого крипто law-enforce`рами...//

Цитировать
К сожалению, информации по данной проблеме на русском языке мало, да и не любят ее налево-направо рассказывать, особенно производителям криптографических продуктов

Это я называю подходом а-ля "у нас есть такие приборы / но мы вам о них не расскажем"(с)песТня "Аквалангисты". Улыбающийся)

Можно сколь угодно долго предполагать, что где-то там, в недрах спецслужб, пыхтят суперкластеры из суперкомпьютеров, щёлкающие любой шифр как орехи. Однако даже если и так, то маловероятно, что такие технологии "попалят" за просто так, вскрывая криптоконтейнеры и крипторазделы для банальных госэкспертиз - никто из "больших мальчиков" не будет ТАК "расшифровываться" перед "коллегами" из иных пределов: инфа о таких возможностях относится к разряду стратегических.
Да и криптосообщество сейчас достаточно велико и недостаточно монолитно (имхо) для того, чтобы умолчать о практической компрометации тех или иных протоколов или реализаций - в конце концов, никто не любит "игру в одни ворота"...
« Последнее редактирование: 11 Июня 2009, 17:31:34 от De Nada » Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #33 : 11 Июня 2009, 18:30:33 »

Цитировать
Можно сколь угодно долго предполагать, что где-то там, в недрах спецслужб, пыхтят суперкластеры из суперкомпьютеров, щёлкающие любой шифр как орехи. Однако даже если и так, то маловероятно, что такие технологии "попалят" за просто так, вскрывая криптоконтейнеры и крипторазделы для банальных госэкспертиз - никто из "больших мальчиков" не будет ТАК "расшифровываться" перед "коллегами" из иных пределов: инфа о таких возможностях относится к разряду стратегических.

Ну вот видите, Вы - один из многих, впадающих в две крайности Улыбающийся С одной стороны криптоконтейнеры, с которыми работают с LiveCD, который не использует своп, а по всей комнате развешаны "тревожные кнопки". С другой стороны - неведомые суперкомпьютеры. В реальности суперкомпьютеров и суперкластеров этих никто не видел, а следов не оставляют только весьма знающие параноики.

Цитировать
У Вас НЕТ информации, на каком компьютере могли создаваться эти файлы - т.е., нет в наличии ОС, которую Вы могли бы допросить.  

Цитировать
как Вы надеетесь вскрыть его (напомню, мы говорим о стойком крипто с правильным паролем)Непонимающий О каких "утечках" тут может идти речь???

Для начала можно выполнить задание: найти компьютер по MAC адресу, который хранится в идентификаторах NTFS.

Цитировать
Да и криптосообщество сейчас достаточно велико и недостаточно монолитно (имхо) для того, чтобы умолчать о  практической  компрометации тех или иных протоколов или реализаций - в конце концов, никто не любит "игру в одни ворота"...

Ну если речь зашла про протоколы, то расскажите торговцам и покупателям "анонимных" OpenVPN услуг про особенности TCP/IP, а то они продолжают верить, что анонимность заключается лишь в отсутствии ведения логов и "шифрации с очень длинным ключом", ведь, как подтверждает torproject, трансляция данных на таком уровне есть серьезная угроза анонимности, а универсальных нормализаторов трафика пока никто не придумал (а всякие патчи для Линукса от grsecurity никто не использует).
Записан
slon48
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 127

Злостный фигурант


« Ответ #34 : 11 Июня 2009, 18:33:53 »

Вы наверно что-то путаете, я не про конкретный случай, я про санкцию статьи в их УК говорил.
Возможно, уже и ввели. Если поделитесь ссылкой на эту статью в УК Объединенного Королевства, то буду признателен, интересно взглянуть.
Не стоит забывать, что это англо-саксонское право. Как с этим вопросом обстоят дела в континентальной Европе?
У нас об этом пока и в проектах не слышно...
« Последнее редактирование: 11 Июня 2009, 18:34:50 от slon48 » Записан

Пациент, в сумасшедшем доме не умничают!
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #35 : 11 Июня 2009, 18:41:53 »

Это я называю подходом а-ля "у нас есть такие приборы / но мы вам о них не расскажем"(с)песТня "Аквалангисты". Улыбающийся)
Вот :
http://www.computer-forensics-lab.org/forum/viewtopic.php?t=398

и вот:
http://nhtcu.ru/news.html
новость за 20 января 2008г
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #36 : 11 Июня 2009, 19:44:35 »

Ну вот видите, Вы - один из многих, впадающих в две крайности Улыбающийся С одной стороны криптоконтейнеры, с которыми работают с LiveCD, который не использует своп, а по всей комнате развешаны "тревожные кнопки". С другой стороны - неведомые суперкомпьютеры.
.

Очень прошу Вас не валить всё в одну кучу и не уходить от конкретики.

Вы начали своё присутствие в этой теме с утверждения, что некий криптоконтейнер может быть вскрыт при помощи некоего анализа (по видимому, на предмет обнаружения следов пассфраз/ключей) незашифрованной ОС, на которой велась работа с этим контейнером.
Я задал Вам очень простой вопрос - как Вы намерены вскрывать этот контейнер, если у Вас НЕТ незашифрованной ОС, работавшей с ним??? Ответа от Вас не последовало...

Вы так же утверждали, что можно (с помощью некоей утилиты Aperio) получить доступ (в Вашем исполнении - "поиметь данные") к диску, зашифрованному с помощью FDE.
На мой уточняющий вопрос, расшифрует ли эта утиль (предназначенная, на минуточку, несколько для других целей) наш FDE-раздел, Вашего ответа, опять же, не последовало...

Отсюда я склонен сделать вывод о том, что Ваше утверждение о возможности реального взлома стойкого крипто НЕ выдерживает элементарной проверки с т.з. логики и настоящего положения вещей в данной области.

Цитировать
В реальности суперкомпьютеров и суперкластеров этих никто не видел, а следов не оставляют только весьма знающие параноики.

Склонен согласиться лишь с первой частью этого утверждения.
Что до второй, то если человек понимает, что он делает, то ему не нужно "быть физиком-ядерщиком", чтобы реализовать необходимые меры защиты.
LiveCD - штука доступная и распространённая, при загрузке с него все временные данные размещаются на временном (пардон за тавтологию) рамдиске и исчезают с перезагрузкой. Таким образом, это превращается из вопроса технического в вопрос организационный - если пользователь соблюдает процедуру, то риск компрометации данных возможно свести к сколь угодно малой величине.

//По поводу "тревожных кнопок" Вы можете шутить сколько угодно, но есть достаточно много вариантов "быстрого реагирования", сочетающих технические и организационные меры и призванные максимально затруднить или даже вовсе исключить (при штатном срабатывании, ес-сно) захват работающей системы (и "тревожная кнопка" - лишь часть возможного).
 Тут главное - насколько нам дороги наши данные и сколько мы готовы вложить в их защиту...//

Цитировать
У Вас НЕТ информации, на каком компьютере могли создаваться эти файлы - т.е., нет в наличии ОС, которую Вы могли бы допросить.  

Цитировать
как Вы надеетесь вскрыть его (напомню, мы говорим о стойком крипто с правильным паролем)Непонимающий О каких "утечках" тут может идти речь???

Для начала можно выполнить задание: найти компьютер по MAC адресу, который хранится в идентификаторах NTFS.

ОК, пойдём по порядку.
Вы - эксперт-криминалист. Вам принесли носитель с криптоконтейнером, но никаких компьютеров Вам не приносили (ну не было компов - носитель изъяли, скажем, из банковской ячейки или чьего-то сейфа/шкафа). Где и как Вы будете искать нужный Вам комп??? И, не найдя компа, как Вы будете вскрывать контейнер?

Однако у Вас есть проблемы посерьёзнее. Не хочу, чтобы это воспринималось как ultima ratio regis, но вынужден предупредить, что в настоящее время Вы "играете" с действующим системным администратором, причём на "его поле".
Дело в том, что объекты файловой системы NTFS (кстати, что именно Вы назвали "идентификаторами NTFS"Непонимающий) НЕ хранят MAC-адрес компьютера! Если Вы сможете привести мне ссылку на техническую документацию по NTFS,  где указано иное, то я обязуюсь публично признать свою неправоту в этом вопросе.
Вообще же ни одна файловая система из известных мне не хранит такую инфу как MAC-адрес компа.

Соответственно, даже при наличии под руками кучи компов, Вам придётся исследовать их все, дабы попробовать определить, не использовался ли на каком-то из них данный хард с контейнерами. В принципе, об этом можно судить по сигнатурам жёстких дисков, запоминаемых системой (win) при первом подключении их к ней - но, как уже говорилось выше, запуск криптопрограммы в изолированном окружении нивелирует Вашу способность найти в системе следы паролей/ключей.

Цитировать
Да и криптосообщество сейчас достаточно велико и недостаточно монолитно (имхо) для того, чтобы умолчать о  практической  компрометации тех или иных протоколов или реализаций - в конце концов, никто не любит "игру в одни ворота"...

Ну если речь зашла про протоколы, то расскажите торговцам и покупателям "анонимных" OpenVPN услуг про особенности TCP/IP, а то они продолжают верить, что анонимность заключается лишь в отсутствии ведения логов и "шифрации с очень длинным ключом", ведь, как подтверждает torproject, трансляция данных на таком уровне есть серьезная угроза анонимности, а универсальных нормализаторов трафика пока никто не придумал (а всякие патчи для Линукса от grsecurity никто не использует).

Вы снова пытаетесь "съехать с темы"...
Безопасность коммуникаций - это отдельный вопрос, - я же имел ввиду свою убеждённость в том, что если в используемых сейчас алгоритмах шифрования (и/или в реализующих их программах) будет найдена уязвимость, позволяющая реально и в разумные сроки расшифровывать имеющиеся в настоящее время зашифрованные этими алгоритмами/прогами данные, то у криптосообщества не будет причин скрывать это.

Подытожу - в настоящий момент утверждения о том, что некая компьютерная экспертиза (без разницы - государственная или коммерческая) способна обеспечить компрометацию информации, зашифрованной любым имеющимся в использовании продуктом, представляются мне в большой степени надуманными...
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #37 : 11 Июня 2009, 20:01:35 »

Это я называю подходом а-ля "у нас есть такие приборы / но мы вам о них не расскажем"(с)песТня "Аквалангисты". Улыбающийся)
Вот :
http://www.computer-forensics-lab.org/forum/viewtopic.php?t=398

и вот:
http://nhtcu.ru/news.html
новость за 20 января 2008г

Игорь, спасибо, конечно за ссылки, но у меня есть к ним ряд вопросов...

По первой (скандал PGP vs Elcomsoft) - процитирую прямо из той новости:
"Однако серьезного практического значения это (аппаратное ускорение брутфорса - De Nada) не имеет, поскольку сокращение времени перебора даже на два порядка не делает PGP ненадежным, если вы правильно подготовили свои ключи (пароли)".

В двести раз ускорить брутфорс - это примерно на порядок. Соответственно, если по простому - будем брутить не 1000 лет, а только 100. Улыбающийся "Правильно подготовить ключи/пароли" - это значит использовать очень длинные и заковыристые пассфразы (мнемоника рулит - например, "КаГ ОднажТы ЖаГ Звонарь ГородсГой Сломал Фонарь" или "Акаты-бакаты-чукаты-ме-абуль-фабуль-думане-ики-пики-крамматики-фляк").
Кроме того, у обороняющихся есть в запасе keyfiles на уничтожаемых и/или недоступных носителях и возможность задавать несколько (два, три, четыре) пароля - помимо обеспечения доступа только кворуму, эта мера очень сильно мешает брутфорсу.

По второй ссылке - простите великодушно, но я не заметил там ничего, что подкрепляло бы исходный тезис
Цитировать
К сожалению, информации по данной проблеме на русском языке мало, да и не любят ее налево-направо рассказывать, особенно производителям криптографических продуктов
,
на который я и ответил песенкой о "приборах"...
Ну да, там масса анонсов новых forensic-утилит и просто хороших ссылок на статьи и форумы - об этих "приборах" ссылка говорит, ага. Только мой оппонент (ИМХО) имел ввиду нечто совсем другое - что где-то у кого-то есть возможность "вскрывать всё", но этот "кто-то" молчит, как рыба об лёд...
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #38 : 11 Июня 2009, 20:48:57 »

ОК, по порядку.

Цитировать
Очень прошу Вас не валить всё в одну кучу и не уходить от конкретики.

ОК

Цитировать
как Вы намерены вскрывать этот контейнер, если у Вас НЕТ незашифрованной ОС, работавшей с ним??? Ответа от Вас не последовало

Вы поставили задачу так, что обоснованный рассказ о том, "как найти исходный компьютер" является ответом. Более того, ответом является рассказ о том, как найти компьютер, на котором был подмонтирован этот контейнер хотя бы раз. К тому же, вы ставите вопрос про общий случай, поэтому смело примем следующую ситуацию:

Пользователь сбекапил на флешку свою домашнюю директорию с криптоконтейнером, а на исходном компе (который был расщеплен на атомы после бекапа) была установлена GNOME; вопрос - о наличии фотографий секретного объекта в контейнере; ответ - распечатка содержимого директории кеша эскизов GNOME.

Теперь пойдет (конечно, контейнер в данном случае не "вскрывается", но можно привести еще более корректных примеров, но не нужно)? Конечно, Вы будете модифицировать условие каждый раз, когда будет найдено противодействие Вашей задаче (как я модифицирую свой ответ на Вашу "общую" задачу), однако, сути дела это не меняет и процесс этот бесконечный, ведь методов легального технического противодействия криптографии полно.

Когда речь идет о криптографии, задачи надо ставить конкретно, а не "возможно ли взломать AES-256 в исполнении TrueCrypt".

Цитировать
Вы так же утверждали, что можно (с помощью некоей утилиты Aperio) получить доступ (в Вашем исполнении - "поиметь данные") к диску, зашифрованному с помощью FDE.
На мой уточняющий вопрос, расшифрует ли эта утиль (предназначенная, на минуточку, несколько для других целей) наш FDE-раздел, Вашего ответа, опять же, не последовало...

Мой ответ: да, доступ к зашифрованным данным получит, даже если контейнер отмонтирован. Остальное ищите в поисковиках.

Цитировать
Однако у Вас есть проблемы посерьёзнее. Не хочу, чтобы это воспринималось как ultima ratio regis, но вынужден предупредить, что в настоящее время Вы "играете" с действующим системным администратором, причём на "его поле".
Дело в том, что объекты файловой системы NTFS (кстати, что именно Вы назвали "идентификаторами NTFS"Непонимающий) НЕ хранят MAC-адрес компьютера! Если Вы сможете привести мне ссылку на техническую документацию по NTFS,  где указано иное, то я обязуюсь публично признать свою неправоту в этом вопросе.

http://computerforensics.parsonage.co.uk/downloads/TheMeaningofLIFE.pdf

The Distributed Link Tracking Service maintains its link to an object by using an object identifier
(ObjectID). An ObjectID is an optional attribute that uniquely identifies a file or directory on a
volume. An index of all ObjectIDs is stored on the volume. Rename, backup, and restore operations
preserve object IDs. However, copy operations do not preserve ObjectIDs, because that would
violate their uniqueness. ObjectIDs are not maintained on FAT systems or removable media.


...

The ObjectIDs for the files can reveal forensically useful information,
      they contain the MAC address of the host network interface, and
      sequence information that shows during which boot session they were created and in what
       order.


Что вполне согласуется с:
Цитировать
Вам в руки попадает (найден при обыске) некий носитель (DVD/BlueRay диск, флешка, харддиск)

В следующий раз задавайте конкретные вопросы, например: "использую BestCrypt, Windows 2003, внешний хард SSD, ФС на нем  - NTFS, на харде в контейнере файлы DOC, JPEG, EXE, пароль  хороший. Все/часть всего этого вчера забрали. Скажите, мне хана?"

Ну и в заключение: надо составить список угроз, который ожидает любителей пошифровать диск, и выделить из них наиболее реальные. На данный момент, наиболее реальные угрозы являются наиболее опасными, а наименее реальные (похитили чей-то (неизвестно чей) носитель из анонимной банковской ячейки, на котором зашифрованный контейнер с текстовыми файлами, которые просматривали лишь с помощью cat) наименее опасными.
« Последнее редактирование: 11 Июня 2009, 21:03:49 от eleron » Записан
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #39 : 11 Июня 2009, 23:51:35 »

Цитировать
как Вы намерены вскрывать этот контейнер, если у Вас НЕТ незашифрованной ОС, работавшей с ним??? Ответа от Вас не последовало

Вы поставили задачу так, что обоснованный рассказ о том, "как найти исходный компьютер" является ответом. Более того, ответом является рассказ о том, как найти компьютер, на котором был подмонтирован этот контейнер хотя бы раз.

Если в Вашем распоряжении нет компьютера, а есть только криптоконтейнер или диск под FDE, то можно сколько угодно рассказывать о том, как бы Вы определили, что это комп от этого диска. Как Вы помните, в правоприменительной практике сплошь и рядом производится выемка отдельных носителей...

К тому же, вы ставите вопрос про общий случай, поэтому смело примем следующую ситуацию:

Пользователь сбекапил на флешку свою домашнюю директорию с криптоконтейнером, а на исходном компе (который был расщеплен на атомы после бекапа) была установлена GNOME; вопрос - о наличии фотографий секретного объекта в контейнере; ответ - распечатка содержимого директории кеша эскизов GNOME. Теперь пойдет (конечно, контейнер в данном случае не "вскрывается", но можно привести еще более корректных примеров, но не нужно)?

Не совсем понял логику изложения - если, как Вы говорите, комп был "расщеплён на атомы" (ну или просто отсутствует в радиусе Вашей досягаемости), то откуда бы в Вашем распоряжении взяться "директории кеша эскизов GNOME"Непонимающий
Однако это, как Вы справедливо заметили, не является "вскрытием" контейнера - мы получаем косвенную информацию о содержимом интересующего нас контейнера. С таким же успехом мы могли бы получить её иными методами, включая некомпьютерные (не имею ввиду неконвенциональное принуждение).

Конечно, Вы будете модифицировать условие каждый раз, когда будет найдено противодействие Вашей задаче (как я модифицирую свой ответ на Вашу "общую" задачу), однако, сути дела это не меняет и процесс этот бесконечный, ведь методов легального технического противодействия криптографии полно.

Когда речь идет о криптографии, задачи надо ставить конкретно, а не "возможно ли взломать AES-256 в исполнении TrueCrypt".

Извините, но это именно Вы начали разговор в предельно общем ключе:
Вскрыть криптоконтейнер можно и за 10 рублей.
...
используете криптоконтейнер без шифрации ОС - получите утечки информации и вскрытие данных за 10 рублей,... используете FDE с шифрацией ОС - поимеют ваши данные с помощью Aperio

Как видите, ничего конкретного ни про систему шифрования, ни про ОС; единственное название - Aperio, но...
=== http://www.cert.org/forensics/ ===
Aperio detects operational signatures left by commercial counter-forensic software and can guide the search for latent data that remains.
==========================

- т.е. данная прога - "ищейка", а не "кракер"...

Со своей стороны я постарался более-менее конкретизировать:
Цитировать
в случае полнодискового шифрования (ну, скажем, продуктом класса DiskCryptor / TrueCrypt / PGP WDE) с использованием "развесистой" парольной фразы на нескомпрометированной системе получить в разумное время доступ к зашифрованной информации без применения неконвенциональных методов  будет практически  невозможно.

Цитировать
Вы так же утверждали, что можно (с помощью некоей утилиты Aperio) получить доступ (в Вашем исполнении - "поиметь данные") к диску, зашифрованному с помощью FDE.
На мой уточняющий вопрос, расшифрует ли эта утиль (предназначенная, на минуточку, несколько для других целей) наш FDE-раздел, Вашего ответа, опять же, не последовало...

Мой ответ: да, доступ к зашифрованным данным получит, даже если контейнер отмонтирован. Остальное ищите в поисковиках.

По поводу Aperio всё найденное мною гласит, что эта прога НЕ расшифровывает криптоконтейнеры и криптотома, а лишь определяет (пытается, во всяком случае) их наличие... ну или ещё какие следы работы counter-forensic tools. Отсыл в дискуссии "к поисковикам" есть, ИМХО, моветон - даже если Вы считаете, что я не умею пользоваться ими, то что Вам мешает снизойти до того, чтобы дать конкретную ссылку, как Вы это уже делали здесь???
В конце концов, скорее отыщется инфа, что "прога имярек" делает "то-то", чем отрицание, мол, "прога имярек" ни в коем случае НЕ делает то-то и то-то...
Уважьте оппонента - признайтесь, где Вы видели инфу, что Aperio может получить доступ к закриптованной информации на отмонтированном томе???

http://computerforensics.parsonage.co.uk/downloads/TheMeaningofLIFE.pdf

The Distributed Link Tracking Service maintains its link to an object by using an object identifier
(ObjectID). An ObjectID is an optional attribute that uniquely identifies a file or directory on a
volume. An index of all ObjectIDs is stored on the volume. Rename, backup, and restore operations
preserve object IDs. However, copy operations do not preserve ObjectIDs, because that would
violate their uniqueness. ObjectIDs are not maintained on FAT systems or removable media.


Что ж, признаю - в этом вопросе Вы меня подловили "на горячем" (кажется, гордыня входит в список смертных грехов?) Улыбающийся : про Object ID я, по правде сказать, забыл (возможно оттого, что на своих системах всегда отключаю DLT - сие сказано не отмазки ради, но точности для:)).
Другое дело, что нам это почти ничего не даёт для решения основной задачи - доступа к информации в криптоконтейнере: даже при наличии включенного DLT и зафиксированного в Object ID MAC`а мы лишь узнаем, к какому компу подключался сей носитель. Причём если кто-то возьмёт на себя труд отключить бортовую сетку и пользоваться дискретной сетевой карточкой, то изъяв последнюю, он может не беспокоиться - MAC в Object ID`s на носителе не совпадёт с MAC`ами, имеющимися на доступных для исследования компах. Опять же, если загрузиться с LiveCD, то в основной ОС компа не останется никаких следов работы с контейнером - тогда даже знание, что с данным носителем работали на данном компе ничем Вам не поможет...  
//Интересно, если этот LiveCD будет *nix`овым, а ФС на носителе - NTFS, то будет ли тот же ntfs-3g так же писАть МАС в Object ID (при отсутствии сервиса DLT)Непонимающий Улыбающийся  Надо перечитать спеки, чтобы не оконфузиться, если что... И вообще, пора начинать детально  штудировать "Криминалистический анализ файловых систем" Брайана Кэрри. Улыбающийся

Кстати, спасибо за ссылку - очень неплохо расфасовано всё в этом документе (положил в библиотечку).

Цитировать
В следующий раз задавайте конкретные вопросы, например: "использую BestCrypt, Windows 2003, внешний хард SSD, ФС на нем  - NTFS, на харде в контейнере файлы DOC, JPEG, EXE, пароль  хороший. Все/часть всего этого вчера забрали. Скажите, мне хана?"

Не вопрос! Улыбающийся
Использую TrueCrypt 6 в traveller-mode (на выбор - файл контейнера или криптораздел), работаю с закриптованными данными (какими - не скажу, Вам их  придётся добыть самому Улыбающийся) при помощи загрузки с *nix-based LiveCD (не думаю, что роялит название конкретного дистра, ну пусть будет PuppiRus или ALT), который монтирует в памяти рамдиск, где и оседает весь "мусор" от сессии. В случае криптоконтейнера - он лежит на произвольной ФС носителя (пусть будет USB-хард) ... ладно, для пущей совместимости пусть это будет NTFS или (для небольших контейнеров) FAT32, которую (ФС) понимает мой LiveCD. Имея такую конкретику, Вы по-прежнему будете утверждать, что сможете добраться до моих данных, имея на руках носитель? И чем Вам в этом поможет комп?

Ну и в заключение: надо составить список угроз, который ожидает любителей пошифровать диск, и выделить из них наиболее реальные. На данный момент, наиболее реальные угрозы являются наиболее опасными, а наименее реальные (похитили чей-то (неизвестно чей) носитель из анонимной банковской ячейки, на котором зашифрованный контейнер с текстовыми файлами, которые просматривали лишь с помощью cat) наименее опасными.

Собственно, я для этого и вылез из read-only - чтобы обкатать в т.ч. и "модели угроз" с участием, так сказать, противной стороны (формально подходя к вопросу, мы с экспертами "играем" за разные команды...). Улыбающийся
По поводу "похитили чей-то носитель" Вы преувеличиваете - как я уже писАл выше, речь идёт о носителе, изъятом во время неких процессуальных действий: он вполне идентифицируем по месту изъятия, но может быть безвозвратно отчуждён от компа, набивавшего его данными... Т.ч. и эта "модель" вполне воспроизводима на практике...
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
Страниц: 1 2 3 [4] 5 6 ... 20   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines