Менты забрали ноут

методы взлома не были раскрыты в передаче, к сожалению.

Нда, это вполне мог быть терморектальный :(

скорей всего :)
Касательно наиболее эффективного применения терморектального прибора существует такой диалог:
— А ты хоть знаешь, как правильно паяльник в вставлять?
— Нет, а как?
— Ручкой внутрь, горячим концом наружу.
— ???
— Чтобы вынуть было сложно!

Юридический вопрос в тему:

1) может ли являться вещественным доказательством в судебном разбирательстве информация, полученная путем негласного наблюдения (данные ОЗУ, перехватываемые скрытым кейлоггером символы, данные буфера обмена или любым другим методом негласного съема данных)?

2) может ли являться вещественным доказательством в судебном разбирательстве информация, полученная методом термо-ректального криптоанализа?

Третий вопрос касается человеческой порядочности

3) дешифрование файлового контейнера или раздела предполагает изменение существующих данных на те, которые осмыслены и могут быть восприняты человеком. Может ли случится, что дешифрованная информация будет совсем не той, которая была зашифрована ранее? Проще говоря, могут ли "подставить" с зашифрованным диском или разделом?

может ли являться вещественным доказательством в судебном разбирательстве информация, полученная путем негласного наблюдения

Собранная согласно УПК и ОРМ — да.

может ли являться вещественным доказательством в судебном разбирательстве информация, полученная методом термо-ректального криптоанализа?

Нет (если будет доказан факт применения таких методов).

Проще говоря, могут ли "подставить" с зашифрованным диском или разделом?

Ну, если контейнер подменят... В ином случае (скажем, при дешифровании ошибочным ключом, тем более, что реальные СКЗИ обычно имеют защиту от такого события) вероятность стремится к нулю.

Если эксперт КТЭ находит на изъятых НЖМД логи сторонней кейлоггерской программы (установленной системным администратором компании для аудита пользователей), сохранившую информацию о правильном пароле к зашифрованному разделу\контейнеру, является ли данная информация подлежащей к проверке со стороны эксперта, и, если введенный пароль окажется верным, будут ли в данном случае логи кейлоггерской программы и содержимое зашифрованного раздела доказательством в судебном разбирательстве?

сохранившую информацию о правильном пароле к зашифрованному разделу\контейнеру, является ли данная информация подлежащей к проверке со стороны эксперта, и, если введенный пароль окажется верным, будут ли в данном случае логи кейлоггерской программы и содержимое зашифрованного раздела доказательством в судебном разбирательстве?

Да.

Проще говоря, могут ли "подставить" с зашифрованным диском или разделом?

Могут, но подобную подставу очень легко обнаружить в ходе КТЭ.

А если для шифрования используется просто xOR? В этом случае для любого текста той же длины его xOR c шифрованным текстом даст такой "ключ" расшифровки, в результате которой получится этот текст. И даже если вообще шифрование не используется – "эксперт" может взять любой (особенно случайный) кусок данных на моём диске и "расшифровать" его таким образом. ;)

А если для шифрования используется просто xOR?

Вы ещё используете диски с аппаратным шифрованием? Тогда они едут к Вам!

И даже если вообще шифрование не используется – "эксперт" может взять любой (особенно случайный) кусок данных на моём диске и "расшифровать" его таким образом. ;)

Может он ещё и обоснует свои действия?

Вы ещё используете диски с аппаратным шифрованием?

Нет, можно в качестве пароля использовать URL ресурса с xOR-ключом, а доступ производить через Tor. Получается правдоподобное отрицание.

С файлом-контейнером все более-менее понятно, вопрос встал по поводу зашифрованных разделов. Предположим, люди со злыми намерениями изымают флеш-карту с зашифрованным разделом и хотят подставить человека. Они форматируют флешку в режиме RAW, затем с использованием той же программы, что была использована жертвой, создают новый зашифрованный раздел, на который записывают компрометирующие данные. Персональный компьютер, на котором осуществляется это – автотомен, отключен от сети, на нем установлена дата и время, когда жертва могла работать за компьютером. Ставят заведомо слабый пароль. Изменяют атрибуты компрометирующих файлов (дата и время создания, последнего изменения, доступа). После этого эта информация записывается на созданный зашифрованный раздел, после чего пароль "сбручивается" и предоставляются доказательства виновности жертвы. В этом случае шифрование не защищает приватность, а компрометирует заведомо невиновного человека, причем довольно сильно. Можно ли как-то доказать что подставной раздел флешки был создан позднее, чем произошло изъятие?

Ну Вы сказочник. Жертве подкинут пачку наркоты в карман и ствол — в ящик стола при обыске. Кому нужны эти пляски с бубнами?

В этом случае шифрование не защищает приватность, а компрометирует заведомо невиновного человека, причем довольно сильно

А что мешает точно также подкинуть пару гигов пиратских виндов и детского порно на обычный, незашифрованный накопитель?

Жертве подкинут пачку наркоты в карман и ствол — в ящик стола при обыске.

+100, посадить человека с наркотой и патронами не просто, а очень просто. И шансов отмазаться никаких, совсем по нулям.
Если сверху пришла команда посадить вас полюбому, то остается только расслабиться и получать удовольствие. Или резко сваливать в другую страну.

Кому нужны эти пляски с бубнами?.

Действительно, зачем чего-то подкидывать, когда можно просто убить "оказавшего сопротивление при задержании" или, более классический вариант, "при попытке к бегству". А с современными технологиями можно ещё проще, "от сердечного приступа".

Так все-таки человек не отписал, чем кончилась его история...