Déni Truecrypt WDE?

1

Dites que je crypte l'ensemble de mon disque dur avec Truecrypt, puis utilisez le CD de secours pour supprimer complètement le chargeur de démarrage du disque dur. J'ai 2 questions:

1) Le fait d’avoir le chargeur de démarrage sur le disque dur ne signifie-t-il pas qu’il est impossible de tenter de forcer brutalement le mot de passe?

2) Si j’ai un CD DBAN à côté de mon ordinateur, est-il possible de dire «Je viens d’effacer le disque dur avec DBAN car je suis sur le point de faire une réinstallation?

Merci.

abbabadabo
la source

Réponses:

1

Je ne suis pas un expert en sécurité. Suivez tous mes conseils avec une poignée de sel, où la taille de la main varie avec le montant de sécurité souhaité.

  1. Je crois que c'est le cas, mais je ne suis pas un expert sur TrueCrypt. Bien entendu, vous devez disposer du disque de secours pour démarrer l'ordinateur. Par conséquent, si un attaquant le trouve, il peut toujours tenter de forcer brutalement le mot de passe.

  2. Bien que ce soit l’un des objectifs de TrueCrypt (voir le deuxième point de la page sur la déni plausible), je ne suis pas sûr que ce serait plausible, pour deux raisons. La première est que si vous supprimez simplement le chargeur de démarrage et ne le remplacez pas par des données aléatoires, il se passe bien quelque chose. Peut-être que le CD remplace le chargeur de démarrage par des données aléatoires, ce n'est donc pas un problème. sinon, il serait possible de le remplacer par des données aléatoires de manière différente. Le deuxième problème est que vous devez conserver le CD TrueCrypt près de votre ordinateur pour pouvoir toujours démarrer l'ordinateur. Cela pourrait limiter le déni plausible. Une solution consiste à insérer le CD DBAN à l'intérieur de l'ordinateur à tout moment, sauf lors du démarrage, et à disposer du CD TrueCrypt à proximité. Dites que le disque dur contenait auparavant un volume TrueCrypt, mais que ce n'est plus le cas maintenant, car vous venez de l'effacer. Cela reste encore un peu suspect: pourquoi utiliser DBAN si les données sont déjà cryptées?

Pour indiquer si le CD TrueCrypt Rescue remplace le chargeur de démarrage par des données aléatoires, démarrez à partir d'un CD live ou d'un lecteur USB Linux et exécutez la commande suivante:

dd if=/dev/sda bs=512 count=1 | hexdump | tail

Si le résultat est un tas de déchets qui ne se termine pas par 55aa, alors ce sont des données aléatoires. Si cela se termine par 55aa, alors c'est un chargeur de démarrage valide. Si c'est

0000000 0000 0000 0000 0000 0000 0000 0000 0000
*
0000200

ensuite, la piste du chargeur de démarrage a été remplacée par des zéros (je suis sûr que vous pourriez le dire) et vous devez la remplacer vous-même par des données aléatoires. Ceci peut être accompli avec

dd if=/dev/urandom of=/dev/sda bs=512 count=1

REMARQUE: je n'ai PAS exécuté cette commande. Il peut écrire des données aléatoires sur plus que le chargeur de démarrage et rendre votre système impossible à démarrer. A utiliser avec précaution! Notez également que / dev / urandom n'est pas aussi sécurisé que / dev / random, mais vous n'avez PAS besoin de données aléatoires de haute qualité pour cette courte séquence d'octets.

Maintenant, exécutez la première commande pour vous assurer qu'elle ne se termine pas par 55aa. C'est très improbable, mais c'est possible, il est donc préférable de s'en assurer. Sur une chance extrêmement improbable (une chance sur plus de 65 000), exécutez simplement la deuxième commande à nouveau.

Maintenant, vous avez un disque complètement aléatoire qui aurait pu être généré avec DBAN. Si quelqu'un voit ce disque avec le disque DBAN dans la machine, il supposera qu'il s'agit d'un disque dur aléatoire. Ils peuvent vous inciter à donner suite à votre demande d'installation d'un système d'exploitation sur ce dernier, mais il est très peu probable qu'ils soient en mesure de prouver qu'il existe un volume Truecrypt.

J'espère que cela a aidé, mais encore une fois, je suis NE PAS un expert en sécurité.

Daniel H
la source
Merci. Après cela, le disque de récupération TrueCrypt ne dispose que d’une option de «restauration du chargeur de démarrage du système», ce qui signifie qu’il ne fait que réinstaller le chargeur de démarrage qu’il a remplacé. Donc, je pense que je dois suivre vos étapes et l'éditer manuellement. À propos de la première question, je ne suis pas sûr de comprendre comment ils peuvent encore résoudre le problème sans le chargeur de démarrage. Parlez-vous d'eux essayant de casser le cryptage (disons aes 256) lui-même et non le mot de passe?
abbabadabo
Après avoir effacé le chargeur de démarrage, essayez de monter le volume. Le chargeur de démarrage fournit simplement à l'utilisateur un moyen de taper un mot de passe pour déchiffrer la clé de chiffrement encrtyptée utilisée pour chiffrer le disque dur. Vous pouvez donc modifier le mot de passe sans avoir à rechiffrer l'intégralité du disque.
Randolf Richardson
@abbabadabo Oui, c'est ce à quoi je faisais allusion. J'ai écrit cela assez tard dans la nuit dans mon fuseau horaire, alors je bavardais un peu. Je supprime cette partie, alors la réponse est plus claire. Si quelqu'un trouve ces commentaires et veut savoir ce que j'ai dit, vous devrez vérifier les versions précédentes.
Daniel H