Якщо ти віддаєш перевагу зберігати дані конфіденційно, прислухайся: зашифровані диски дуже складно зламати, що не могло не розчарувати правоохоронні органи. MrSeb опублікував доповідь, названий “Зростаючий вплив шифрування дисків на цифрову криміналістику”, в якому описується, наскільки складно це зробити.
Огляд доповіді можна подивитися тут, а нижче наведені короткий вступ:
Зростаюче використання повного шифрування диска (full disk encryption, FDE) може стати серйозною перешкодою для вивчення цифрових даних, теоретично блокуючи доступ до всіх цифровим доказам. При роботі з FDE або навіть частковим шифруванням томів, спроби просто відключити комп’ютер неприйнятні, тому що можуть привести до того, що дані будуть недоступні для судового розслідування. Для вирішення цієї проблеми необхідні можливості виявлення та збереження шифру на місці до моменту “висмикування шнура з мережі”. Крім цього, для того, щоб дати дослідникам кращий шанс на отримання розшифрованих даних на місці, прокурорам необхідно підготувати ордер на право обшуку враховуючи специфіку FDE. Цей документ описує те, як FDE ускладнило дослідження доказів в одних випадках, і як його обхід з’явився серйозною підмогою в інших. Цей документ також описує алгоритм збору необхідних елементів, які можуть бути корисні для отримання доступу до шифрованих даних і для здійснення збору судових даних на працюючих системах. Ці заходи підвищать шанси успішного збору цифрових доказів у дешифровано вигляді, захоплення ключа шифрування або кодової фрази. Деякі нюанси видачі і виконання ордерів на обшук, пов’язаних з FDE обговорюються досі.
У доповіді пропонуються кілька способів поліпшення ситуації, а також процес “збору судових даних на місці”, який включає вилучення незашифрованих даних з пам’яті за допомогою кріогенної техніки RAM freezing. Але не всі дослідники такі оптимістичні: “необхідно розробити нову технологію для обходу чи злому полнодіскового шифрування”, говориться в доповіді.