GLF

Wer auf die Idee kommt, einen TrueCrypt-Container zwischen vielen anderen Dateien zu verstecken und im Falle eines Entdeckens plant, zu behaupten, dass dies eine korrupte Musik- oder Film-Datei sei, der sollte mal TC Hunt ausprobieren.

Bei mir wurden einige TC-Container, die ich testweise auf dem PC verstreut hatte, wie versprochen ohne weiteres gefunden und als solche erkannt. Und auch nur diese.

Laut den interessanten FAQs auf der Webseite erkennt TC Hunt einen TC-Container an 4 Kriterien:
1. Die Dateigröße hat eine bestimmte Mindestgröße (TC-Container müssen bei Version 7.1a mind. 292 KB groß sein)
2. Die Dateigröße lässt sich glatt (also ohne Rest) durch 512 teilen.
3. Der Dateiinhalt scheint aus Zufallsdaten zu bestehen
4. Die Datei hat keinen bekannten Datei-Header. Viele Dateitypen (wie mp3 usw.) haben typische Daten, mit denen die Datei eingeleitet wird. TC-Container haben dies natürlich auch, jedoch sind diese mit Hilfe des Passwortes verschlüsselt und somit ohne Kenntnis den Passwortes selbst für TC nicht von Zufallsdaten zu unterscheiden.

Ob ein TC-Container tatsächlich ein solcher ist, lässt sich ohne Entschlüsselung nicht nachweisen. Dem Autor geht es mit seinem Programm darum, zu zeigen, dass man sich trotzdem nicht sicher fühlen soll, wenn man versucht, TC-Container zwischen massenhaft anderen Dateien zu verstecken. Denn wenn sein Programm einen TC-Container wie die Nadel im Heuhaufen findet, dann können das die Programme der Behörden auch.
Der Autor des Programms (ein Amerikaner) rät dringend davon ab, gegenüber der Polizei oder eines Gerichtes die Unwahrheit zu erzählen, in dem man z.B. die Existenz eines TC-Containers bestreitet.

In many states in the US, it is a crime to lie to a police officer. It's also a crime to lie while under oath in a court. When dealing with government agents (police officers) say nothing and ask for legal representation. Don't lie to them.
[...]
Many people insist that their encrypted volumes are undetectable. I hope TCHunt will convince them otherwise, before they learn this fact the hard way.

Er weist außerdem darauf hin, dass man zwar jemand unerfahrenem erklären kann, dass ein TC-Container eine korrupte Videodatei oder dergleichen sei, dass diese Behauptung jedoch nicht bei genauerer Analyse standhält, weil eine korrupte Datei immernoch erkennbare Strukturen in den Daten enthält, was bei einer verschlüsselten Datei nicht der Fall ist.


http://16s.us/tchunt.html
TC-Hunt ist open-source und man wird ermutigt, sich den C++-Quelltext anzusehen, wenn man möchte. DasProgramm scheint übrigens nicht neu zu sein.

Dass man die Existenz einer (TrueCrypt-)Verschlüsselung nachweisen kann, ist ja eigentlich kein Geheimnis. Auch wenn man die komplette Festplatte verschlüsselt, gibt es zumindest einen Bootloader, und ich meine mich zu erinnern, dass auch verschlüsselte Nicht-System-Partitionen irgendwie erkannt werden können. Daher gibt es ja die Technik der "Hidden Volumes", die sich quasi in einem "unverfänglichen" Container/Laufwerk verstecken - der potentielle Gegner weiß also sehr wohl, dass Daten verschlüsselt wurden, findet aber selbst bei Herausgabe des "Nicht Hidden"-Passworts nur die unverfänglichen Daten. Natürlich kann er trotzdem vermuten, dass es ein Hidden Volume gibt, z. B. wenn der gefundene Container sehr groß ist, der Speicherplatz aber größtenteils "frei" zu sein scheint (im "freien" Speicherplatz sind ja die wirklich geheimen Daten abgelegt). Das lässt sich aber dann wirklich nicht beweisen, weil verschlüsselte und mit zufälligen Zeichen überschriebene Speicherbereiche identisch aussehen.

Die beste Option ist sowieso zu schweigen. Wenn jemand fragt, was das für Dateien sein sollen, einfach nichts sagen.

Ovid hat geschrieben:Wenn jemand fragt, was das für Dateien sein sollen, einfach nichts sagen.

Bulle: "Was ist das?"
Ich: "Keine Ahnung."

YoungLover hat geschrieben: Bulle: "Was ist das?"
Ich: "Keine Ahnung."

Bulle - Shit - ich auch nicht.

YoungLover hat geschrieben: Bulle: "Was ist das?"
Ich: "Keine Ahnung."

Nein, das wäre gelogen.

"Ich mache von meinem Aussageverweigerungsrecht Gebrauch."

"Ich möchte meinen Anwalt sprechen."

Und jede weitere darauffolgende Frage, bis auf Angaben zur Person (Name, Geburtsdatum und Adresse), ignorieren. Stilles Anschweigen, keine Mimik und keine Gestik. Punkt!

Mitleser hat geschrieben:Dass man die Existenz einer (TrueCrypt-)Verschlüsselung nachweisen kann, ist ja eigentlich kein Geheimnis. Auch wenn man die komplette Festplatte verschlüsselt, gibt es zumindest einen Bootloader, und ich meine mich zu erinnern, dass auch verschlüsselte Nicht-System-Partitionen irgendwie erkannt werden können.

Die Verschlüsselung der System-Partition ist am unverschlüsselten Bootloader tatsächlich erkennbar. Dies gilt aber nicht für normale Partitionen oder für Container.
Übrigens werden auch geschredderte Dateien von TC Hunt als TC-Container erkannt, wenn diese die Mindestgröße erfüllen und deren Dateigröße glatt durch 512 teilbar ist.

Ich fand das Programm ganz interessant, als ich es entdeckte. Habe ich euch jetzt gelangweilt?

gelangweilt ? sicherlich nicht - Sicherheitsthemen verfolge ich immer, Dein Hinweis hat mich in meiner Vorgehensweise nochmal bestätigt.

[color=#000000]Ovid[/color] hat geschrieben:Nein, das wäre gelogen.

Na ja, als Beschuldigter darf man lügen. Es bringt nur nichts.


Im Übrigen die Mühle, weil hier oft über Probleme mit "Containern" geschrieben wird:

[color=#BF0000]Sakura[/color] hat geschrieben:Also verschlüsselt man seine systempartition mit TrueCrypt oder Disk Cryptor.

https://www.girlloverforum.net/forum/vi ... 66#p176666

Dann sind die ganzen Probleme mit Containern obsolet.

Smaragd aus Oz hat geschrieben:Na ja, als Beschuldigter darf man lügen. Es bringt nur nichts.

Nicht nur das, es kann einem auch zum Nachteil werden. In dem bekannten Vortrag von Udo Vetter zeigt er wie Lügen, scheinbar harmlose nebensächliche Lügen oder sogar auch eine harmlose Wahrheit einen manchmal in die Bredouille bringen kann.
Die beste Option ist also immer noch das eiserne Schweigen.

Mit Partitionen ist das Problem schon ähnlich. Wer eine unformatierte Partition mit Datenmüll die ganze Zeit herumhängen hat und zufällig noch Verschlüsselungssoftware auf dem Rechner, dann ist das ähnlich "verdächtig".

Bei Systempartitionen ist die Verschlüsselung sowieso evident.

Aber ich glaube man sollte eher die Position stärken, dass Verschlüsselung Post-Snowden nichts ungewöhnliches oder verdächtiges darstellt.

Also lieber mit Stolz und Überzeugung den Container auf den Desktop mit dem Dateinamen: "DAS_IST_EIN_VERSCHLÜSSELTER_DATEICONTAINER" tragen. (oder am besten gleich alles vollverschlüsseln)

[color=#000000]Ovid[/color] hat geschrieben:Wer eine unformatierte Partition mit Datenmüll die ganze Zeit herumhängen hat und zufällig noch Verschlüsselungssoftware auf dem Rechner, dann ist das ähnlich "verdächtig".

Naaaain! Nur, wenn man zusätzlich auch noch pedoviel ist.

"Verdächtig" kann man schon werden, wenn man die falsche Person zur falschen Zeit mit dem falschen Gesichtsausdruck anguckt. Ich wirke zB verdächtig, wenn ich bei halber Bewölkung eine Sonnenbrille trage - dadurch könnte ich ein Doppelspion der CIA sein, von denen es in Deutschland so viele gibt.

Verschlüsselung allein reicht noch nicht für einen Verdacht, egal wie klein er ist. Für einen Verdacht muss man schon Tatsachen mit Bezug zu Straftaten kennen. Die Kausalkette "Verschlüsselung-Böse" gibt es nicht, da muss noch etwas dazwischen, zum Beispiel "Verschlüsselung-Besuche von Webseiten im Tor-Netzwerk-Böse". (Bevor wieder ein potenzieller Bösewicht protestiert: Jaaa, ich weiß: Angeblich soll es im Tor-Netz auch legale Seiten geben.)

[color=#000000]Ovid[/color] hat geschrieben:Aber ich glaube man sollte eher die Position stärken, dass Verschlüsselung Post-Snowden nichts ungewöhnliches oder verdächtiges darstellt.

Genau so sehe ich das auch, und in meinem pedowenigen Sozialumfeld ist man zum Glück schon auf dieser Linie.

@Lolimat

Kannst Du bitte mal versuchen einen TrueCrypt-Container (der nicht geöffnet ist) in ein ZIP zu packen mit ein paar anderen Dateien (MP3s usw.).
Dieses ZIP dann Passwortverschlüsselt.

Kann TC Hunt dann noch den Container darin finden ?

Tetris hat geschrieben:Kann TC Hunt dann noch den Container darin finden ?

Nope.

(Wenn "ja" dann würde wohl was mit der Verschlüsselung nicht stimmen )

TC Hunt wird sich für das Zip sicherlich nicht interessieren (selbst ohne Verschlüsselung), da es einen bekannten Header (oder Footer?) hat.
Am besten, Du probierst Du so etwas selbst aus. Für Windows gibt es auf der Webseite eine exe-Datei, die ohne Installation lauffähig ist. (Linux und Mac-User müssen erstmal noch kompilieren.)