Исходная статья форензиков в свободном доступе на Cryptome.org.

Основной вывод — частичное дисковое шифрование оставляет много косвенных следов экспертам, в то время как полное — никаких.

Основные методы борьбы с полнодисковым шифрованием — внезапный захват компьютера подозреваемого во включенном состоянии любой ценой. Рекомендуется добиваться от судей "No-Knock warrants" — "ордеров без стука", внезапного "surpise" вламывания в жилище и внезапных ночных "in the middle of the night" обысков. Обыски с тайным проникновением в жилище — "sneek-and-peek" считаются слишком трудозатратными для ФБР и предполагаются преимущественно только в делах, связанных с вопросами национальной безопасности.

Жалуются также, что в Англии малый срок за отказ раскрытия парольной фразы (5 лет — если отказ от выдачи паролей сопутствует доказанному (?) обвинению в терроризме, 2 года — в остальных случаях), а в США судебное дело (даже по обвинению в терроризме) может развалиться, если обвиняемый не упорствует в открытую, а демонстрирует сотрудничество со следствием: раскрывает якобы правильную парольную фразу, а она не подходит. Адвокаты указывают на возможность повреждения контейнера, забывчивость и суд принимает оправдательное решение.

Также указано на гипотетические судебные трудности с принуждением к раскрытию паролей в скрытых контейнерах Truecrypt. Перечислены средства шифрования под Виндовс (встроенные, коммерческие, свободно-распространяемые) и винчестеры с шифрованием на аппаратном уровне (а также модули TPM).

Среди прочих, упомянут процесс группы Чапман-Семенко в котором пароли для полнодискового шифрования были восстановлены только с фрагментов бумаги (где они были записаны) и делается утверждение о том, что без этого ключевого доказательства, которое дало доступ также к стегопрограммам на диске, процесс мог бы иметь другой результат.

А так — ничего принципиально нового в статье нет. Снятие дампов памяти через Fireware, холодная перезагрузка, переключение проводов без прерывания питания на специальный UPS для перевозки в лабораторию, кейлоггеры, трояны.

А что, русский язык уже не является обязательным на этом сайте? Тем более, что есть автоматические переводчики. Вот например, немного подправил:

Полное шифрование диска слишком хорошо, жалуются группы криминалистов.

Полное шифрование дисков хорошо для поддержания безопасности компьютера. На самом деле настолько хорошо, что группы компьютерных криминалистов рвут на себе волосы.

Инженеры компьютерной безопасности, в том числе член американской Группы Реагирования на Компьютерные Неожиданности (CERT), жалуется в бумагах разработчика на этой неделе, что кривые банкиры, террористы и лица, злоупотребляющие ребенком могут уйти от наказания, потому что оказывается невозможным для цифровых следователей разблокировать их зашифрованные жесткие диски. Как писал New Scientist в феврале, полное дисковое шифрование есть большой шаг к безопасности потребителя. Оно шифрует всё на диске при выключении компьютера, тайм-ауте или выходе из системы. Но обратная сторона, конечно, ужас для некоторых борцов с преступлениями.

Авторы работы говорят, что они имеют перед лицом четыре основные проблемы. Во-первых, эксперты не всегда осознают, что полнодисковое шифрование работает на изымаемом как улика компьютере и выключают его – так что всё теряется. Во-вторых, когда офицеры копируют диск для анализа не понимая, что он полностью зашифрованн, группы криминалистов теряют часы драгоценного лабораторного времени пытаясь придать смысл случайным наборам байтов. В-третьих, подключение к анализу аппаратных средств может вызвать срабатывание правила "только-доверенное-железо" для шифрования всего. В-четвертых, некоторые американские подозреваемые ссылаются на пятую поправку и не дают пароль, а другие лгут и дают неправильный, утверждая, что система шифрования подвела или что они забыли, каким должен быть пароль.

Чтобы справиться с эпохой полнодискового шифрования, руководимая американской CERT группа хочет улучшенных криминалистических процедур и лучшей подготовки ордеров на обыск. Их заключение несколько безнадежны, однако: "необходимы исследования для разработки новой техники и технологии для взлома или в обхода полного шифрования диска."

Что идет вразрез со всем смыслом шифрования, намекнули бы мы.

К такому переводу подойдёт только комментарий вроде "Спасибо, поржал".

Ну вот с подачи журналистов про российские реалии в свете приобщения компьютеров к материалам дела. Как всегда не знаешь, то ли ржать, то ли как. Не плакать же.

Ну а что там смешного? Доказательства распечатаны, можно ознакомится. А если подделали, то и на компьютере могли. А вот если пустить обвиняемого за компьютер, тут порча улик гораздо вероятнее.

Интересно, на каком таком основании в New Scientist была принята статья "ни о чём" от хрен-знает-кого. Ну специалистам это всё и так известно — в чём новость-то?

Кстати, там внизу стр.4 есть такое:

Fig.2 shows a passphrase "accountdata" that was cached in memory by TrueCrypt and was captured and recovered using forensic tools

Причём пассфраза была извлечена из оперативной памяти. Как такое возможно? Я всегда думал, что пассфраза нужна только для расшифрования мастер-ключа, т.е. сразу после получения мастер-ключа сама пассфраза безопасно уничтожается из оперативной памяти. Я ошибался?

Допустим, для простоты, что у нас есть 2 разных LUKS-тома, оба с одинаковыми пассфразами, один подмонтирован, а другой нет. Пусть противник снимает дамп с оперативной памяти и получает (мастер-ключ?) к одному из LUKS-томов. Может ли он при этом расшифровать и второй том?! Вопрос, собственно, программной реализации.

С этим вопросом связан и ещё один, такой. Допустим, что в одном из томов содержались какие-то данные, ОС с ними работала, они были в оперативной памяти и т.д. Потом все процессы от юзера, имевшего доступ к тому тому, были убиты а сам том отмонтирован. Очистились ли из оперативной памяти при этом и сами данные, или, может быть, не все? Обнуляется ли оперативная память после закрытия соответствующих процессов? А то в таком случае даже отмонтирование криптотома не поможет — только полная перезагрузка (да и та лишь ограниченно), а ещё лучше — полное обесточивание системы после работы с критичными данными. Помню, что подобное у нас уже обсуждалось, но ясности особо не прибавилось. Мне озвучивали мнение о том, что в Linux'е ядро зануляет фоново оперативную память (так ли это?), что уменьшает опасность утечек при доступе к оперативке постфактум, но насколько быстро идёт процесс стирания для реальных данных после реальной работы (поглядел документ, посмотрел фильм, послушал музыку) — не ясно.

если пустить обвиняемого за компьютер, тут порча улик гораздо вероятнее.

Можно предварительно сделать копии, записав хэш, да и для ознакомления можно дать копии. Хэш должен быть подписан всеми сторонами в момент обыска. Плохо представляю как это выглядело бы на практике, но сами форенсики об этом где-то писали у себя на сайтах или в статьях.

Причём пассфраза была извлечена из оперативной памяти. Как такое возможно? Я всегда думал, что пассфраза нужна только для расшифрования мастер-ключа, т.е. сразу после получения мастер-ключа сама пассфраза безопасно уничтожается из оперативной памяти. Я ошибался?

У трукрипта есть опция "кешировать пароль в памяти". Почитайте мануал, что ли.

А у LUKS? GELI? CGD? vnconfig? TrueCrypt'ом не пользуюсь, он был приведён как пример.

Пусть противник снимает дамп с оперативной памяти и получает (мастер-ключ?) к одному из LUKS-томов. Может ли он при этом расшифровать и второй том?!

Пассфраза вайпится, мастер-ключи (так же как и ключи слотов) для всех контейнеров по умолчанию рэндомные (независимые друг от друга) и зашифрованы пассфразой с уникальной рэндомной солью и заданным числом итераций.

Можно неумолчательным способом сделать наоборот — автоматическую расшифровку одного контейнера после открытия другого с помощью прилагающихся образцов скриптов (и даже прописать их в качестве опции в cryptab). Но этот трюк работает за счёт получения одного ключа из другого через хэши, а не через пассфразу.

Обнуляется ли оперативная память после закрытия соответствующих процессов?

Пассфраза стирается сразу же после расшифровки ключа контейнера. При корректном отрабатывании luksClose стираются из памяти и сами мастер-ключи. Но криворукие сборщики Linux-дистров (см. дискуссию по ссылке выше) не могут сделать так, чтобы при шатдауне всё отмонтировалось и закрывалось в нужном порядке. Так что мастер-ключи могут быть извлечены из памяти в процессе холодной перезагрузки.

У трукрипта есть опция "кешировать пароль в памяти"

Ну это так для пользователей называется, а кешируется то, вероятно, ключ? Тут скорее не мануал, а исходники читать надо. (всё ИМХО)

"Можно предварительно сделать копии, записав хэш" На чём делать копии, когда у них (как пишут) денег даже на бумагу не хватает?

Ключ висит в памяти по-любому, пока контейнер не размонтирован и не закрыт. Иначе как всё работать будет?

Ну это так для пользователей называется, а кешируется то, вероятно, ключ?

Нет, именно пароль. Если зашифровано несколько дисков, включая системный, на все одинаковый пароль, и включена эта опция, то после загрузки системы остальные диски примонтируются автоматически.

http://fossies.org/unix/misc/T.....ource/Common/Cache.c:
20 Password CachedPasswords[CACHE_SIZE]; 21 int cacheEmpty = 1; 22 static int nPasswordIdx = 0;
кажется, тут даже сами пароли в исходном виде хранятся в памяти, да ещё и в глобальном блоке – "бери – не хочу"

"Полное шифрование диска слишком хорошо, жалуются группы криминалистов" – классный перевод, спасибо, мне понравился, переводите ещё! всё по делу и без лишнего политеса)

Кстати, на том же cryptome.org есть большая презентация про крим. анализ BitLocker. Там сначала рассказывается про то что всегда нужен пароль, потом показывается специальный блок на зашифрованном диске, в котором есть имя файла, необходимого для восстановления пароля, и вдруг на слайде №84 откуда-то вводится искомый пароль. Непонятно, откуда его взяли. Никто не читал?..