Ist eine normale TrueCrypt-Partition nicht von zufälligen Daten zu unterscheiden? (Besteht es einen ² Zufallstest?)

3

Wenn ich eine ganze Partition mit TrueCrypt verschlüssele (ein Standard-Volume, kein verstecktes Volume), kann die Partition statistisch nicht von zufälligen Daten unterschieden werden?

Oder könnte jemand (möglicherweise mit einem Chi-Quadrat-Test) beweisen, dass die Daten tatsächlich nicht zufällig sind?

security  encryption  truecrypt 
Mehrdad
quelle

Antworten:

3

Nein, es kann von zufälligen Daten unterschieden werden . In der Praxis spielt es jedoch wahrscheinlich keine Rolle.

In diesem interessanten Artikel werden einige der typischen Eigenschaften eines TrueCrypt-Containers erläutert:

  • Die verdächtige Dateigröße modulo 512 muss gleich Null sein.
  • Die Größe der verdächtigen Datei beträgt mindestens 19 KB (obwohl dies in der Praxis auf 5 MB festgelegt ist).
  • Der Inhalt der verdächtigen Datei besteht einen Chi-Quadrat-Verteilungstest.
  • Die verdächtige Datei darf keinen gemeinsamen Dateiheader enthalten.

Es handelt sich um das Programm TCHunt , das speziell zum Auffinden von TrueCrypt-Containern entwickelt wurde. Eine der Eigenschaften ist, dass es einen Chi-Quadrat-Test besteht. Die Modulo 512-Operation gibt jedoch mehr Hinweise , und das Bestehen eines Chi-Quadrat-Tests bedeutet natürlich nicht, dass es sich um völlig zufällige Daten handelt:

Truecrypt-Volumes, bei denen es sich im Wesentlichen um Dateien handelt, weisen bestimmte Merkmale auf, die es Programmen wie TCHunt ermöglichen, diese mit hoher Wahrscheinlichkeit zu erkennen . Das mathematisch bedeutendste ist, dass ihre Modulo-Division durch 512 0 ist.

slhck
quelle
1
Ich denke, entweder ich verstehe etwas falsch oder du verstehst etwas falsch. :-) Wie ist das Dateigrößenmodul 512 ein Zeichen für eine TrueCrypt- Partition ? Sind heutzutage nicht alle Partitionsgrößen mod 512 gleich Null? Oder sprachen Sie stattdessen über Datei-Container ?
Mehrdad
Es findet Partitionen, eingebettete Dateien, sogar TrueCrypt, das in ganze Festplatten eingebettet ist - selbst das ist der Beweis, dass es irgendwie unterscheidbar ist. Ich bin auf den algorithmischen Einzelheiten nicht genau , oder warum soll das funktionieren, aber die Tatsache , dass es tut Arbeit ist genug für mich :) Und natürlich es wird falsch positive Ergebnisse , zB andere Dateien mit rein zufälligen Daten.
Slhck
Zum Nutzen anderer: Zum Zeitpunkt, an dem ich dies schreibe, listet Trend Micro anscheinend die gesamte WWW-Site von 16 Systems auf einer schwarzen Liste auf. Der 16s.us.in dieser Antwort enthaltene Hyperlink führt zu einer Warnseite über Malware-Hosting, Betrug oder Betrug auf Computern mit Trend Micro Internet Security ist installiert und wird ausgeführt.
JdeBP
Ich glaube das ist falsch. Aus der TCHunt-FAQ: "Hinweis: Wenn die verschlüsselten Volumes in / dev / urandom-Dateien versteckt sind, die über dd erstellt wurden, werden sie nicht auffallen."
tlrobinson
@tlrobinson Interessant, gut zu wissen - aber wenn es nicht möglich wäre, diese Volumes zu finden, warum würde TCHunt existieren?
Slhck
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.