it-swarm.com.de

Kann festgestellt werden, ob die Festplatte verschlüsselt ist?

Kann festgestellt werden, ob eine Festplatte verschlüsselt ist, unabhängig davon, welche Software verwendet wurde, d. H. Truecrypt/VeraCrypt/Bitlocker für AES-256?

Erst neulich dachte ich, es könnte möglich sein zu erkennen, ob ich das Laufwerk mit "Sektoransicht" scanne, um die Daten zu lesen. Wenn die Daten zufällig gefüllt sind, bedeutet dies, dass sie verschlüsselt sind. Ist es so leicht zu sagen?

38
cpx

Wir haben hier zwei Arten der Verschlüsselung: "dateibasierte Verschlüsselung" und "vollständige Festplattenverschlüsselung". Es gibt dokumentierte forensische Methoden und Software (z. B. EnCase), mit deren Hilfe wir die zum Verschlüsseln der Festplatte verwendeten Schemata und Programme erkennen können.

Ich werde eine Liste der gängigen Tools und Standards erstellen und prüfen, ob sie Spuren hinterlassen, anhand derer wir feststellen können, ob sie verwendet wurden:

  • Bitlocker
    Bitlocker ist ein vollständiger Festplattenverschlüsselungsstandard, der unter Windows 7 ab Windows 7 verfügbar ist. Dieses Tool verwendet AES256 zum Verschlüsseln der Festplatte. Eine mit Bitlocker verschlüsselte Festplatte unterscheidet sich von einer normalen NTFS-Festplatte. Die Signatur von " - FVE-FS - " befindet sich am Anfang von Bitlocker-verschlüsselten Volumes.
    Diese Volumes können auch durch eine GUID identifiziert werden:
    • für BitLocker: 4967d63b-2e29-4ad8-8399-f6a339e3d00
    • für BitLocker ToGo: 4967d63b-2e29-4ad8-8399-f6a339e3d01
  • DiskCryptor/TrueCrypt/VeraCrypt
    DiskCryptor basiert auf TrueCrypt. Sowohl für DiskCryptor als auch für TrueCrypt können wir ihre Anwesenheit anhand der folgenden Kriterien erkennen:
    • größe der Datei oder Sammlung von Clustern Objekt ist ein Vielfaches von 512,
    • die Mindestgröße des Objekts beträgt 19 KB, standardmäßig jedoch mindestens 5 MB.
    • enthält keine spezifische Dateisignatur im gesamten Objekt und
    • hat eine hohe Shannon-Entropie oder besteht den Chi-Quadrat-Verteilungstest. Da keine bestimmte Signatur oder kein spezifischer Header zurückbleibt, können wir nicht sicher sagen, ob TrueCrypt (oder seine Geschwister) verwendet wurden. Durch die Kombination mehrerer Methoden können wir versuchen, das Vorhandensein von TrueCrypt besser zu erraten.
  • FileVault
    Filevault ist das Bitlocker-Äquivalent auf dem Mac und bietet vollständige Festplattenverschlüsselung. Die Signatur von " encrdsa " oder der Hex-Wert von " 65 6E 63 72 63 64 73 61 "befindet sich am Anfang von FileVault-verschlüsselten Volumes.
  • Cryptsetup mit LUKS
    Linux Unified Key Setup ist eine Festplattenverschlüsselungsspezifikation und kann in Cryptsetup unter Linux verwendet werden, einem gängigen Tool für die Verschlüsselung von Speichermedienvolumes. Es ist optional und Benutzer können dieses Format nicht verwenden, aber wenn es verwendet wird, können wir seine Anwesenheit mit der Signatur " LUKS\xba\xbe " am Anfang erkennen der Bände.
  • Check Point Full Disk Encryption
    Am Sektorversatz 90 des VBR befindet sich die Produktkennung " Protect ". Hex-Wert " 50 72 6F 74 65 63 74 "
  • GuardianEdge-Verschlüsselung Plus/Überall/Festplattenverschlüsselung und Symantec-Endpunktverschlüsselung
    Bei einem Sektorversatz von 6 MBR befindet sich die Produktkennung " [~ # ~] pcgm [~ # ~] ". Hex-Wert " 50 43 47 4D "
  • McAfee Safeboot/Endpoint Encryption
    Bei Sektoroffset 3 MBR befindet sich die Produktkennung " Safeboot ". Hex-Wert " 53 61 66 65 42 6F 6F 74 "
  • Sophos Safeguard Enterprise und Safeguard Easy
    Für Safeguard Enterprise befindet sich am Sektoroffset 119 des MBR die Produktkennung " SGM400 ". Hex-Wert " 53 47 4D 34 30 30 3A "
  • Symantec PGP Whole Disk Encryption
    Bei Sektoroffset 3 MBR befindet sich die Produktkennung " ëH | PGPGUARD ". Hex-Wert " EB 48 90 50 47 50 47 55 41 52 44 "

Messen der Zufälligkeit von Dateien zum Erkennen der Verschlüsselung

Die zuvor beschriebenen Methoden sind möglicherweise nicht für jedes Festplatten-/Dateiverschlüsselungsschema möglich, da nicht alle spezifische Eigenschaften aufweisen, die wir zur Erkennung nutzen können. Eine andere Methode besteht darin, die Zufälligkeit von Dateien zu messen. Je näher sie der Zufälligkeit kommen, desto sicherer ist die Verwendung der Verschlüsselung.
Dazu können wir ein Python Skript mit dem Namen file_entropy.py verwenden. Je näher der Entropiewert an 8.0 liegt, desto höher ist die Entropie.
Wir können dies weiter ausbauen und Diagramme zeichnen, um die Verteilung der Bytes zu visualisieren. ( Berechne-Datei-Entropie )

Ein weiterer Hinweis zum Erkennen der Verschlüsselung ist, dass im Volume keine bekannte Dateisignatur erkannt wird. (Kein JPG, keine Office-Dokumente, keine bekannten Dateitypen) Und da Komprimierungsmethoden (zB gzip , rar und Zip ) bekannte Signaturen haben wir kann sie größtenteils von der Verschlüsselung unterscheiden.

Fassen Sie zusammen

  1. Verwenden Sie bekannte Signaturen, um die Verschlüsselung zu erkennen (falls möglich).
  2. Verwenden Sie spezielle Merkmale (minimale Dateigröße, hohe Entropie, Fehlen einer speziellen Dateisignatur usw.), um die Verschlüsselung zu erkennen
  3. Schließen Sie komprimierte Dateien mit ihrer Signatur aus

Zurück zur Hauptfrage " Ist es so leicht zu sagen ?", dies fällt unter forensische Methoden, wir haben es möglicherweise mit Steganographietechniken zu tun. In einem normalen Fall, in dem der Benutzer nicht versucht, uns zu täuschen, ist es irgendwie einfach zu erkennen, dass eine Verschlüsselung vorhanden ist, aber in realen Szenarien, in denen der Benutzer möglicherweise versucht, Dinge zu verbergen und uns zu täuschen, leitet er möglicherweise nur/dev/urandom an eine Datei weiter ! Es wird nicht einfach.

73
Silverfox

Während Sie mit Sicherheit nicht sagen können, können Sie innerhalb eines bestimmten Vertrauensbereichs sagen.

Verschlüsselte Daten sehen aus wie weißes Rauschen: Jedes Bit hat gena eine 50% ige Wahrscheinlichkeit, gesetzt zu werden, unabhängig vom Rest der Bits; Es gibt keine Korrelation zwischen einem bestimmten Bit und einem der anderen. Es ist rein zufällig.

Es stellt sich heraus, dass diese hohe Qualität der Zufälligkeit im normalen Lebenszyklus einer Festplatte nicht besonders häufig ist. Im Allgemeinen gibt es einige Muster oder ein anderes. Entweder ein Restmuster aus dem Herstellungsprozess oder ein Muster aus dem Dateisystem-Setup oder ein Muster aus aktuellen oder zuvor gelöschten Dateien. Wenn eine Festplatte also rein weißes Rauschen enthält, ist die wahrscheinlichste Erklärung, dass entweder jemand eine "sichere Löschung" auf dem Laufwerk durchgeführt hat oder dass sie verschlüsselte Informationen enthält.

Ausnahmsweise sind komprimierte Daten eine häufig verwendete unverschlüsselte Form von Daten, die häufig dem Rauschen ähnelt. Je höher das Komprimierungsverhältnis ist, desto mehr ähnelt es verschlüsselten Daten. Trotzdem haben komprimierte Daten normalerweise verräterische Markierungen, sodass eine genauere Untersuchung dies im Allgemeinen ausschließen kann.

15
tylerl

Wenn die Daten zufällig gefüllt sind, bedeutet dies, dass sie verschlüsselt sind. Ist es so leicht zu sagen?

Nein. Wenn ich eine Festplatte wegwerfen oder verschenken möchte, würde ich persönliche Daten daraus entfernen, indem ich ein Programm wie shred ausführe, das ersetzt die Inhalte mit zufälligen Daten. Das Vorhandensein zufälliger Daten beweist also nichts.

Sie können diese Festplatte dann mit einem Dateisystem oder einem anderen neu formatieren, wodurch der erste Teil der Festplatte normal und der Rest zufällig aussieht. Das beweist immer noch nicht, ob der zufällige Teil verschlüsselt ist oder nur von der Bereinigungsoperation übrig geblieben ist.

Ich bin ein wenig überrascht, dass die meisten Verschlüsselungsprodukte Signaturen herumliegen lassen, wie von Silverfox beschrieben. Dies scheint den Benutzer für die hier beschriebene Brute-Force-Entschlüsselung offen zu machen:

(Security

10
Nick Gammon