Представиться системе
Компьютерно - техническая экспертиза
0x6874 0x7470 0x3A2F 0x2F63 0x6F6D 0x7075 0x7465 0x722D 0x666F 0x7265 0x6E73 0x6963 0x732D 0x6C61 0x622E 0x6F72 0x672F
Computer forensics and investigations

Просмотры
Навигация
Инструменты

Отрицаемое шифрование

Материал из Компьютерно-техническая экспертиза

Перейти к: навигация, поиск

Отрицаемое шифрование — способ компоновки зашифрованной информации, который обеспечивает возможность правдоподобного отрицания её наличия.

Содержание

Реализация

Контейнеры без сигнатур

Некоторые криптографические продукты (например, TrueCrypt) позволяют создавать зашифрованные контейнеры без каких-либо сигнатур. Такой контейнер, в общем случае, невозможно связать с конкретной криптографической программой (т.к. содержимое контейнера выглядит как сплошная случайная последовательность данных).

Контейнеры без сигнатур невозможно обнаружить программами вроде file. С другой стороны, отсутствие каких-либо сигнатур и высокая энтропия данных уже является признаком зашифрованных данных.

Скрытые контейнеры

Некоторые продукты позволяют создавать контейнеры внутри уже существующей сплошной случайной последовательности данных. Например, TrueCrypt может создать контейнер внутри свободного пространства файловой системы другого контейнера (свободное пространство файловой системы любого контейнера TrueCrypt изначально заполнено случайными данными).

Скрытые ОС

Скрытая ОС — операционная система, установленная в скрытом контейнере.

Обнаружение

Контейнеры без сигнатур

Зашифрованные контейнеры данного типа могут быть обнаружены по следующим признакам:

  • Отсутствие каких-либо известных сигнатур внутри файла;
  • Высокая энтропия данных.

Следующими программами:

Некоторые криптографические продукты (например, TrueCrypt) не изменяют временные метки MAC при работе с контейнером.

Скрытые контейнеры

Скрытые контейнеры могут быть обнаружены в некоторых случаях на стадии анализа выключенной системы, например:

  • В случае утечки информации о содержимом скрытого контейнера на незашифрованные файловые системы:
    • Утечки в файл подкачки, файл гибернации и дампы памяти (crash dump);
    • Другие утечки (например, в списки MRU);
  • В случае утечки криптографических ключей или паролей в файл подкачки, файл гибернации и дампы памяти;
  • В случае наличия полной или частичной копии (нескольких копий) внешнего контейнера с ключом / паролем;
  • В случае использования слабых ключей / паролей для скрытого контейнера.

Скрытые ОС

Скрытые ОС класса Windows могут быть легко обнаружены путем анализа некоторых характеристик сетевого трафика и данных "ложной" ОС.

См. также

Последнее изменение этой страницы: 21:18, 13 июня 2009.К этой странице обращались 8094 раза.