Angenommen, ich verschlüssele meine gesamte Festplatte mit Truecrypt und verwende dann die Rettungs-CD, um den Bootloader vollständig von der Festplatte zu entfernen. Ich habe 2 Fragen:
1) Bedeutet das Fehlen des Bootloaders auf der Festplatte, dass ein Brute-Force-Versuch an das Passwort unmöglich ist?
2) Wenn ich eine DBAN-CD neben meinem Computer habe, ist es dann plausibel zu sagen: „Ich habe gerade die Festplatte mit DBAN gesäubert, weil ich gerade dabei bin, eine Neuinstallation durchzuführen“?
Danke.
Antwort1
Ich bin kein Sicherheitsexperte. Nehmen Sie alle meine Ratschläge mit Vorsicht zur Kenntnis, denn die Größe der Hand variiert je nach gewünschtem Sicherheitsniveau.
Ich glaube, dass dies der Fall ist, bin aber kein TrueCrypt-Experte. Natürlich benötigen Sie die Rettungsdiskette, um den Computer zu booten. Wenn ein Angreifer sie also findet, kann er immer noch versuchen, das Passwort mit Brute-Force-Methoden zu erraten.
Obwohl dies eines der Ziele von TrueCrypt ist (siehe den zweiten Punkt auf ihrer Seite zur plausiblen Abstreitbarkeit), bin ich mir aus zwei Gründen nicht sicher, ob dies plausibel wäre. Erstens ist offensichtlich etwas im Gange, wenn Sie lediglich den Bootloader entfernen und ihn nicht durch zufällige Daten ersetzen. Vielleicht ersetzt die CD den Bootloader durch zufällige Daten, sodass dies kein Problem darstellt; wenn nicht, wäre es möglich, ihn auf andere Weise durch zufällige Daten zu ersetzen. Das zweite Problem ist, dass Sie die TrueCrypt-CD in der Nähe Ihres Computers aufbewahren müssen, damit Sie den Computer weiterhin booten können. Dies könnte die plausible Abstreitbarkeit einschränken. Eine Möglichkeit, dies zu umgehen, könnte darin bestehen, die DBAN-CD immer im Computer zu haben, außer beim Booten, und die TrueCrypt-CD in der Nähe zu haben. Nehmen wir an, die Festplatte enthielt zuvor ein TrueCrypt-Volume, jetzt aber nicht mehr, da Sie es gerade gelöscht haben. Dies ist immer noch ein wenig verdächtig: Warum sollte man DBAN verwenden, wenn die Daten bereits verschlüsselt sind?
Um festzustellen, ob die TrueCrypt Rescue-CD den Bootloader durch zufällige Daten ersetzt, booten Sie von einer Linux-Live-CD oder einem USB-Laufwerk und führen Sie den folgenden Befehl aus:
dd if=/dev/sda bs=512 count=1 | hexdump | tail
Wenn das Ergebnis ein Haufen Müll ist, der NICHT mit 55aa endet, dann sind es zufällige Daten. Wenn es mit 55aa endet, dann ist es ein gültiger Bootloader. Wenn es
0000000 0000 0000 0000 0000 0000 0000 0000 0000
*
0000200
dann wurde der Bootloader-Track mit Nullen überschrieben (ich bin ziemlich sicher, dass Sie das bemerkt haben) und Sie müssen ihn selbst durch zufällige Daten ersetzen. Dies kann erreicht werden mit
dd if=/dev/urandom of=/dev/sda bs=512 count=1
HINWEIS: Ich habe diesen Befehl NICHT ausgeführt. Er kann zufällige Daten auf mehr als nur den Bootloader schreiben und Ihr System kann dadurch nicht mehr bootfähig sein. Verwenden Sie ihn mit Vorsicht! Beachten Sie auch, dass /dev/urandom nicht so sicher ist wie /dev/random, aber Sie benötigen für diese kurze Bytefolge KEINE Zufallsdaten hoher Qualität.
Führen Sie nun den ersten Befehl aus, um sicherzustellen, dass er nicht mit 55aa endet. Dies ist höchst unwahrscheinlich, aber möglich, daher sollten Sie dies am besten sicherstellen. In dem äußerst unwahrscheinlichen Fall (1 zu über 65.000), dass dies doch der Fall ist, führen Sie den zweiten Befehl einfach erneut aus.
Jetzt haben Sie eine völlig zufällige Festplatte, die mit DBAN erstellt worden sein könnte. Wenn jemand diese Festplatte mit der DBAN-Festplatte im Computer sieht, wird er davon ausgehen, dass es sich um eine zufällige Festplatte handelt. Er wird Sie vielleicht dazu bringen, Ihre Behauptung, ein Betriebssystem darauf installiert zu haben, wahr zu machen, aber es ist höchst unwahrscheinlich, dass er beweisen kann, dass sich dort ein Truecrypt-Volume befindet.
Ich hoffe, das hat geholfen, aber ich bin wiederNICHTein Sicherheitsexperte.