Один вариант - системный раздел не шифруется, чувствительная инфа располагается в криптоконтейнере (со скромным именем... ну, например, "videocapture.dat") или на крипторазделе (в дискменеджере виден как Unknown partition, может быть объявлен старым разделом от линуха или просто сбойнувшим и до сих пор не восстановленным).
В отличие от PGP, Трукриптовские контейнеры и разделы не имеют явной сигнатуры, т.ч. "подсказать" о том, что "здесь был Вася"... т.е., Truecrypt, не смогут.
Стоп. Следы запуска и работы с TC есть? Есть.
"Есть" где? Если бы Вы читали внимательнее, то увидели бы, что я говорил о запуске Truecrypt`а, установленного в traveler-mode на загрузочном носителе с BartPE. Вот выдержка из FAQ Truecrypt:
---
Q: Возможно ли использовать TrueCrypt не оставляя никаких следов на незашифрованном Windows?
A: Да. Это может быть достигнуто путем запуска TrueCrypt в traveler mode под BartPE. BartPE расшифровывается как "Bart's Preinstalled Environment", которое является операционной системой Windows приготовленной для того, чтобы она могла работать с загрузочного CD/DVD (реестр, временные файлы и т.д. хранятся в ОЗУ - жесткий диск вообще не используется и его даже может не быть). Бесплатный Bart's PE Builder может переделать Windows XP installation CD в BartPE. Просто загрузите BartPE, скачайте TrueCrypt на RAM-диск (который создает BartPE) и используйте!
---
Насчёт запуска в traveler-mode, но из-под винды, стоЯщей на харде... Для этого действительно нужна достаточно основательная подготовка системы. И если использование рам-диска для каталогов временных файлов не представляет проблемы, то отключение своп-файла (даже при большом объёме ОЗУ) может со временем приводить к жалобам винды на отсутствие виртуальной памяти, когда она попытается вытеснить в своп неиспользуемые страницы памяти. Как вариант, можно попробовать парировать такое поведение, расположив умеренно большой своп-файл (мег на 500) на рам-диске, но это потребует некоторой возни.
Ну и остаётся реестр системы - TC даже в t-m оставляет в нём запись о монтировании тома (см. тот же FAQ). Можно, конечно, завязать на процедуру шатдауна скрипт, удаляющий из реестра эту информацию, но всегда есть риск, что захват сервера произойдёт путём "вырубания рубильника" (выключения UPSa и пр.). В таком случае лучше запускать TC t-m внутри программ-"песочниц" (Sandboxie, ShadowUser) с опорой на рам-драйв - тогда все изменения не будут сохранены в реестр и каталоги базовой системы, а исчезнут с выключением (любым способом). Наличие же на компе "песочницы" менее вызывающе, бо всегда можно отговориться, что она используется для проверки разного рода нового софта (фришного, из инета) и/или для сёрфинга из-под неё.
//Если "ближе к телу", то вот линк на EWF - в нашем случае тоже может помочь:
http://www.flashboot.ru/News-article-25.html //
Признаки того, что "videocapture.dat" является контейнером TC есть (энтропия данных, определенный размер контейнера и еще ряд признаков из данных ФС)? Есть.
Будьте добры, приведите пример про "ряд признаков из данных ФС", которые могут точно показать, что данный файл является файлом-контейнером TC? В конце концов, если уж я некогда забыл про МАС-адрес, в определённых случаях (при использовании DLTS) остающийся в UUID, то, возможно, Вам удастся удивить меня и ещё раз?
//Кстати, ещё раз спасибо за ту ссылку на документ...//
Насчёт "размера контейнера"... А что, есть какие-то критерии на этот счёт? Какой, по-Вашему, размер файла должен/может однозначно свидетельствовать о том, что это
точно контейнер?
Про энтропию... Ну да, есть такое дело...
Хорошо, в таком случае назовём наш контейнер "whitenoise_test03.dat", рядом положим ещё несколько файлов с номерами *01, *02, *04 - разного размера.
"Да, было дело, купил на радиорынке (спаял) генератор белого шума и попробовал писАть его сигнал через аудиовход... Зачем? А, говорят, согласно теории с красивым названием «Феномен электрического голоса» (ФЭГ), в так называемом «белом шуме», а проще говоря, помехах, которыми наполнен незаполненный радиостанциями эфир, можно обнаружить послания с того света... Что значит - "дурак"? Я здоров... а это шутка была - на самом деле я на таких файлах архиваторы испытывал - как жмут... "Про отрицание наличия криптораздела вы, конечно, смешно сказали.
Вам нужна более правдоподобная версия наличия у меня в сервере неиспользуемого харда, сплошь заполненного высокоэнтропийными данными?
ОК, тогда я наклею на хард наклеечку с напечатанной надписью "refurbished".
"Да, нужен был именно диск данной модели, а в городе тогда их не было новых - взял на рынке (с рук) какой был... Угу, ждёт своего часа - пока основной накроется... Что значит - "не успеешь"? Успею! (небрежный взмах рукой)..." Определить то, что какой-либо файл или раздел содержит в себе зашифрованные данные, а не (псевдо)случайные, легко.
Легко определить, что данные обладают повышенной энтропией - тут я с Вами спорить не буду. Можно даже сделать предположение, что это криптоконтейнер или криптораздел - но именно предположение.
Доказать, что это именно так, можно только расшифровкой. Если я обосную наличие этих данных вышеизложенными аргументами, то уже противная сторона будет вынуждена доказывать, что я говорю неправду...
//Про схему с контейнерами-матрёшками и plausible deniability распинаться тут не буду - тут и так всё ясно...
//
Сложность составляет связать эти данные с определенной криптопрограммой. Вот тут и надо говорить "браво, Майкрософт!", т.к. всему вашему криптосообществу оно и тут свинью подложило.
//В принципе, можно и не грузиться с флешки, а только запускать с неё traveler-инсталляцию Truecrypt, но тогда нужно заранее подготовить Вашу систему - переназначить пути TEMP/TMP-каталогов на RAM-диск и отключить pagefile.//
Ага, и останется еще десяток других каналов утечек данных. Хватит вводить людей в заблуждение (в крайнем случае ставьте "ИМХО").
Ну, я и не претендовал на то, чтобы вот так вот взять и нарисовать тут ВСЮ схему подготовки системы... Sapienti sat - тот, кто понимает в компах лучше, может и без меня обеспечить "стерильность" сеанса, а для остальных есть свои варианты (liveCD, например).
По некоторым дополнительным моментам я прошёлся уже в данном ответе, чуть выше (например, "песочницы"). И, кстати, это не "ИМХО", а вполне объективная реальность. Если Вам угодно, Вы можете высказать свои сомнения по поводу каких-либо моментов (как это сделал чуть ранее ув.
bormant о формате MBR) - я постараюсь разумно контр-аргументировать... или признАю, что в таком-то моменте решения нет, но можно обойти так-то...
//BTW, в процессе написАния ответа вспомнил про свою копилку линков. Вот, держите: насчёт ТС и "тюнинга" винды от "утечек" -
http://bugdoor.narod.ru/crypt/wiki/page01.htm).//В свете вышеизложенного наш Truecrypt никоим образом не попадает на глаза "серым", соответственно, инкриминировать Вам его применение им будет проблематично...
В принципе, данную точку зрения вам стоит описать на pgpru. Ибо распространение невежества такого рода среди потенциальных преступников есть хорошо, ИМХО
Во-первых, Вы напрасно называете невежеством то, с чем не согласны - в конце концов, Вы ещё не уложили меня на лопатки.
По крайней мере, на ряд моих вопросов в этой же ветке (от 11 июля с.г.) Вы отвечать не стали...
Да, метод с работой ТС t-m с флешки, но под виндой, стоЯщей на харде, требует некоторых телодвижений - но это не значит, что это невозможно. Тот, кто не сможет их проделать (или не уверен, что сможет или что этим стОит заморачиваться), будет работать с ТС из live-дистрибутива или использует его же в режиме FDE на отдельном разделе или харде.
По поводу pgpru.com... Там подобные моменты действительно обсуждались и обсуждаются -
https://www.pgpru.com/forum/anonimnostjvinternet/putaemsledyilivsevpesochnicu?p=1&show_comments=1#commentshttps://www.pgpru.com/forum/kriptografija/plausibledeniabilityvoproskspecialistamhttps://www.pgpru.com/forum/prakticheskajabezopasnostj/zaschitashifrovannogokontejjneraotlokaljnogoadminaЯ уже давно с удовольствием и пользой посещаю этот сайт, посему мне не совсем понятно, с какого перепугу Вы как-то очень смело заклеймили сей ресурс как сборище потенциальных преступников?