Maitry
Ensign
- Registriert
- Dez. 2016
- Beiträge
- 189
Hallo!
Ist es möglich bei VeraCrypt den Header von einem sagen wir mal verschlüsselten Volume zu löschen?
Nachdem man ihn natürlich auf eine CD/USB Stick gebracht hat.
VC bietet diese Funktion wohl nicht.
Der Header hat einen bestimmten Sektor-Bereich. Den müsste man wohl manuell überschreiben....
Hintergrund ist der das Forensiker ja in der Lage sind am Header zu erkennen das ein Medium mit Veracrypt verschlüsselt wurde. Damit ist der Nachweis erbracht das jemand verschlüsselt/also was zu verbergen hat.
Wenn der Header fehlt ist es glaub ich nicht mehr möglich aufgrund des Datenmülls der sich auf dem Medium befindet nachzuweisen das hier verschlüsselte Daten drauf liegen. Kann das sein?
VeraCrypt bietet versteckte Volumes wo man im Falle eines Falles das Passwort fürs Äußere Volume (Alibi Daten) herausgeben kann.
Ein inneres Volume soll nicht nachweisbar sein.... liest man zumindest .... ("Zweifel hab"...)
Konsequent weiterverfolgt das Konzept der Sicherheit wäre, wenn man nun den Volume Header komplett löschen könnte oder gleich NUR auf eine CD schreiben könnte und nicht auf das Volume selbst.
Dann wäre wahrscheinlich überhaupt nicht mehr nachweisbar das man überhaupt verschlüsselte Daten besitzt.
Die CD lagert man an einem sicheren Ort (meinetwegen sogar auch zusammen mit eventuellen Schlüsseldateien und Passwort).
Hat das schonmal jemand gemacht?
Das wäre doch maximale Sicherheit....
----------
Ferner: Ich habe letzt ein Volume mit Hidden Volume unter Win ausversehen vor dem Einbinden initialisiert. Da hat also Windows jetzt irgendwas draufgeschrieben. Jetzt kann ich das äußere Volume nicht mehr mounten aber das innere (versteckte) noch!
Kann es sein das der Header des inneren Volumes IM Äußeren Volume liegt? Dh nicht da wo der Header des Äußeren Volume ist, nämlich vor allen Daten im Anfangsbereich der HDD?
Wo kann man mal auf deutsch nachlesen wie ein Volume + Hidden Volume aufgebaut ist? Das ist mir nicht so ganz klar...
Des weiteren wie überhaupt Header und Datenbereich aufgebaut sind und funktionieren... Der Header entspricht doch quasi einer NTFS MFT. Wenn der futsch ist kann keiner mehr die Daten entschlüsseln. Was aber wenn ein Teil des Datenbereiches überschrieben/kaputt (defekte Sektoren z.B) ist? Kann man dann immernoch weitestgehend auf seine Daten zugreifen sofern man natürlich Header + Passwort hat?
So wie wenn auf nem NTFS Volume Daten überschriben wurden kann ich ja auf den Rest immer noch zugreifen bzw. mit gewissen Programmen noch was rausreißen, wiederherstellen....
Danke!
Ist es möglich bei VeraCrypt den Header von einem sagen wir mal verschlüsselten Volume zu löschen?
Nachdem man ihn natürlich auf eine CD/USB Stick gebracht hat.
VC bietet diese Funktion wohl nicht.
Der Header hat einen bestimmten Sektor-Bereich. Den müsste man wohl manuell überschreiben....
Hintergrund ist der das Forensiker ja in der Lage sind am Header zu erkennen das ein Medium mit Veracrypt verschlüsselt wurde. Damit ist der Nachweis erbracht das jemand verschlüsselt/also was zu verbergen hat.
Wenn der Header fehlt ist es glaub ich nicht mehr möglich aufgrund des Datenmülls der sich auf dem Medium befindet nachzuweisen das hier verschlüsselte Daten drauf liegen. Kann das sein?
VeraCrypt bietet versteckte Volumes wo man im Falle eines Falles das Passwort fürs Äußere Volume (Alibi Daten) herausgeben kann.
Ein inneres Volume soll nicht nachweisbar sein.... liest man zumindest .... ("Zweifel hab"...)
Konsequent weiterverfolgt das Konzept der Sicherheit wäre, wenn man nun den Volume Header komplett löschen könnte oder gleich NUR auf eine CD schreiben könnte und nicht auf das Volume selbst.
Dann wäre wahrscheinlich überhaupt nicht mehr nachweisbar das man überhaupt verschlüsselte Daten besitzt.
Die CD lagert man an einem sicheren Ort (meinetwegen sogar auch zusammen mit eventuellen Schlüsseldateien und Passwort).
Hat das schonmal jemand gemacht?
Das wäre doch maximale Sicherheit....
----------
Ferner: Ich habe letzt ein Volume mit Hidden Volume unter Win ausversehen vor dem Einbinden initialisiert. Da hat also Windows jetzt irgendwas draufgeschrieben. Jetzt kann ich das äußere Volume nicht mehr mounten aber das innere (versteckte) noch!
Kann es sein das der Header des inneren Volumes IM Äußeren Volume liegt? Dh nicht da wo der Header des Äußeren Volume ist, nämlich vor allen Daten im Anfangsbereich der HDD?
Wo kann man mal auf deutsch nachlesen wie ein Volume + Hidden Volume aufgebaut ist? Das ist mir nicht so ganz klar...
Des weiteren wie überhaupt Header und Datenbereich aufgebaut sind und funktionieren... Der Header entspricht doch quasi einer NTFS MFT. Wenn der futsch ist kann keiner mehr die Daten entschlüsseln. Was aber wenn ein Teil des Datenbereiches überschrieben/kaputt (defekte Sektoren z.B) ist? Kann man dann immernoch weitestgehend auf seine Daten zugreifen sofern man natürlich Header + Passwort hat?
So wie wenn auf nem NTFS Volume Daten überschriben wurden kann ich ja auf den Rest immer noch zugreifen bzw. mit gewissen Programmen noch was rausreißen, wiederherstellen....
Danke!
Zuletzt bearbeitet: