Un des points fort d’un logiciels de chiffrement de disque (outre sa capacité à chiffrer) réside dans son aptitude à masquer le fait qu’un fichier aléatoire est un fichier chiffré.
En Janvier 2009, des petits gars fortiche en math ont montré avec leur première alpha de TCHunt que les fichiers chiffrer par Truecrypt pouvait être détecté. Toutefois en janvier, l’alpha TCHunt décelait encore trop de faux positif. L’idée fut reprise fin avril 2009 par Forensic Innovation et leurs outils de recherche de fichier FI Tools. Mais c’est avec l’apparition début mai 2009 de la première version stable de TCHunt que la compétition commença réellement. Est ce que ces logiciels annoncent la fin du dénie plausible ? Nous allons le voir.
Aussi mystérieux l’un que l’autre sur la façon dont ils fonctionnent j’ai voulus savoir quels était leurs performances réelles. Pour ce faire, j’ai créé 6 fichiers avec Truecrypt de tailles différentes, avec des hash différent, des algorithmes de chiffrement différent, des mots de passe différents, des noms différents, des extensions différentes, et enfin des emplacements sur le disque différent.
Procédure de test :
Voici mon jeu de test :
Nom | Taille | Algo | Hash | Chemin |
hux.oem | 100Mo | AES | RIPEMD | C:\Program Files\xerox |
Jouib6.sys | 599Mo | AES | RIPEMD | C:\Documents and Settings\arti\ |
Comptabilité2009.doc | 40Mo | AES-Twofish | SHA-512 | C:\Documents and Settings\arti\Mes documents |
ntkrnlm.exe | 40Mo | Twofish-Serpent | Whirlpool | C:\WINDOWS\Driver Cache\i386 |
kbdno56.dll | 80Mo | AES-Twofish-Serpent | Whirlpool | C:\WINDOWS\system32 |
thalassa.avi | 800Mo | Twofish | SHA-512 | C:\Documents and Settings\arti\Mes documents\Videos |
Tous ces conteneurs ont été montés puis démonter et utilisé en écriture/copie.
Voici les version des logiciels :
- File Investigator Tools 2.23
- TCHunt 1.0
- Truecrypt 6.2
- Windows XP SP3
- VirtualBox 2.2.2
Enfin, pour chaque logiciel 3 passes ont été faites
FI Tools
FI Tools aura mis 5min20s pour trouver 5 fichiers et 2 faux-positifs (qui sont les même fichier mais dans des répertoires différents). Le fichier Jouib6.sys n’a pas été détecté alors qu’il utilise le même hash que le même algo que hux.oem et qu’il se trouve dans C:\Documents and Settings\arti. Les fichiers sont détectés en temps que « Encrypted Data » :
TCHunt
TCHunt a mis 30s pour trouver les 6 fichiers TC ainsi que 2 faux-positif (les même que ceux de FI TOOLS). La version gratuite de TCHunt 1.0 n’a pas d’interface graphique alors il faut le lancer en commande pour qu’il écrive dans un fichier.
Conclusion
Il faut d’abord rappeler que les version stable de ces logiciels n’ont que quelques semaines. Mais on peut remarquer que TCHunt a trouvé 100% des fichiers TC présent sur le disque alors que FI TOOLS n’en a trouvé que 83%. Pour les 2 logiciels il y a eu que 2 faux positifs qui se sont retrouver être les même.
Enfin TCHunt a montré une rapidité sans égale pour trouver les fichiers TC, étant 10 fois plus rapide que FI TOOLS.
La fin du déni plausible ?. La réponse n’est pas simple car ces logiciels ne permettent pas de prouver qu’un fichier aléatoire est un fichier Truecrypt. Ils permettent simplement de le suspecter très fortement. Pour prouver qu’un fichier aléatoire est un fichier Truecrypt il faut connaitre obligatoirement le mot de passe.
TCHunt apparait donc comme étant le gagnant de ce comparatif aussi bien en matière de rapidité que de qualité de la recherche.
(update : Le fichier oembios.oem est un fichier chiffré de Windows lié au WGA, ce n’est pas vraiment un faux positif)
Update 31/05/09 :
* Précisions sur la découverte de la faille modulo 512
* Précision sur le faux positif oembios.oem
Sympas toussa ! Quels sont les faux-positifs ?
Ce sont kbdno56.dll et oembios.bin 🙂
kbdno56.dll 80Mo AES-Twofish-Serpent Whirlpool C:\WINDOWS\system32\
J’ai raté un épisode ?
Non, non tu as raison, je me drogue :/ Ce sont les même fichier mais dans des répertoires différent.
Just to be clear, TCHunt came out in January 2009. Long before FI Tools. TCHunt also publicly disclosed the modulo 512 issue. Before TCHunt, this was not common knowledge. FI Tools simply copied TCHunt’s methodology, but they did not seem to implement it very well.
Thanks for your post, I updated my article.
FI TOOLS was developed with no knowledge of TC Hunt. We used our own technologies to acomplish the ability to identify encrypted files and, in some cases, that a headerless encrypted file was created with TrueCrypt. The methods that TC Hunt uses (at least in version 1.0) are clearly described, and they are completely different than our methods. To assume that we copied them is wrong.
TC Hunt identifies files as being TrueCrypt or not. Our software identifies 3,300+ different types of files. One of those is Encrypted Data (Headerless), another is TrueCrypt Data. The two false positives in the TC Hunt test appear to have been incorrectly labeled as TrueCrypt. In the FI TOOLS test, those files appear to have been correctly identified as Encrypted Data (Headerless). Since the author admitted that those files actually are encrypted, with a method other than TrueCrypt, they should be counted as correct positives for FI TOOLS. That moves FI TOOLS to 7 correct identifications out of 8 files, and TC Hunt to 5 correct identifications out of 8.
I do not see any proof of the jouib6.sys file being identified incorrectly by FI TOOLS. Please make all of these test files available for testing by other people and/or provide all of the details about the files tested.
The 5+ minutes required for FI TOOLS to identify these files indicates that the test may have been run on a slow computer (or slow virtual environment). FI TOOLS has to read the entire file for some file types, when configured to read beyond the first megabyte, in order to maintain our high accuracy. I didn’t think that slower configuration was the default, but I will look into it. Would the author/tester please document any configuration changes that they made before the test?
Since these two tools use completely different methods, I recommend that FI TOOLS be used to identify all of the files on a hard drive, then use TC Hunt to get a second opinion on the files that FI TOOLS identifies as Encrypted Data (Headerless). The files that FI TOOLS identifies as TrueCrypt Data are identified with even higher accuracy and should not require the use of TC Hunt. The TrueCrypt identification in FI TOOLS works on Formatted Dynamic True Crypt files. All other TrueCrypt files are identified as Encrypted Data (Headerless).
Rob Zirnstein
Forensic Innovations, Inc.