Archives par mot-clé : chiffrement de disque

Chiffrement, Tchunt, Truecrypt

Détecter truecrypt : TCHunt vs FI TOOLS

10 commentaires

truecrypt-icon

Un des points fort d’un logiciels de chiffrement de disque (outre sa capacité à chiffrer) réside dans son aptitude à masquer le fait qu’un fichier aléatoire est un fichier chiffré.

En Janvier 2009, des petits gars fortiche en math ont montré avec leur première alpha de TCHunt que les fichiers chiffrer par Truecrypt pouvait être détecté. Toutefois en janvier, l’alpha TCHunt décelait encore trop de faux positif. L’idée fut reprise fin avril 2009 par Forensic Innovation et leurs outils de recherche de fichier FI Tools. Mais c’est avec l’apparition début mai 2009 de la première version stable de TCHunt que la compétition commença réellement. Est ce que ces logiciels annoncent la fin du dénie plausible ? Nous allons le voir.

Aussi mystérieux l’un que l’autre sur la façon dont ils fonctionnent j’ai voulus savoir quels était leurs performances réelles. Pour ce faire, j’ai créé 6 fichiers avec Truecrypt de tailles différentes, avec des hash différent, des algorithmes de chiffrement différent, des mots de passe différents, des noms différents, des extensions différentes, et enfin des emplacements sur le disque différent.

Continuer la lecture de Détecter truecrypt : TCHunt vs FI TOOLS

Chiffrement, Truecrypt, Windows 7

Windows 7 en FDE avec Truecrypt 6.x

Un commentaire

truecrypt-icon

Update : Avec truecrypt 6.3, plus besoin de cette astuce.

Les développeurs de truecrypt ont annoncés que truecrypt ne sera officiellement compatible avec windows 7 pas avant que ce dernier arrive dans le commerce. Ce qui celons les dernières rumeurs devrait arriver vers novembre-décembre 2009. Mais en pratique Truecrypt est déjà compatible avec Windows 7 RC1 (ce qui n’était pas vrai avec Windows 7 beta). Et c’est vrai aussi bien en « Whole Disk Encryption » qu’en « Encryption System Partition ».

Simplement en « System Partition », seulement la partition système où windows 7 est installé est chiffrée, la partition de boot de 100mo que Windows 7 créer  lors de son installation pour stocker ses fichiers de boot, WinRE et bitlocker ne sera pas chiffré. Ce qui peut permettre à un attaquant de modifié les fichiers de boot de Windows 7 et donc insérer du code malicieux une fois que vous avez démarré sur windows 7.

Si vous ne voulez ou pouvez pas faire de « whole disk encryption » alors, il faut fusionner lors de l’installation de Windows la partition de boot avec la partition système ainsi :

  1. Démarrer l’installation normalement
  2. Choisir le type d’installation Personnalisée.
  3. Au moment de choisir le partitionnement, cliquez sur « Options des lecteurs » (avancées).
  4. Cliquez sur Nouveau et choisissez la taille maximum. Cliquez sur OK.
  5. Un écran va vous dire que Windows peut créer des partition, blablaba. Cliquez sur OK. Vous allez voir que 2 partions sont créer, une de 100 mo et une autre qui prend tout l’espace disponible.
  6. Supprimer la plus grosse mais ne toucher pas a celle de 100 Mo.
  7. Sélectionnez la partition de 100 Mo puis cliquez sur « Étendre » et choisissez d’utiliser tout l’espace disponible. Cliquez sur OK au message d’avertissement.
  8. A présent, il n’y a plus qu’une seule partition sur laquelle vous pouvez installer votre Windows.
  9. Finissez l’installation de Windows, puis chiffrer votre partition comme d’habitude.

Source de l’astuce ici.

Les tests ont été effectué avec :

  • VirtualBox 2.2.2,
  • Windows7 RC1 (7100) fr 64bits
  • Truecrypt 6.2

Update 18/08/09 : Après vérification l’astuce est aussi valable pour Windows 7 x86 et x64 RTM 🙂 C’est à dire Windows 7 final.

Chiffrement, Tchunt

TCHunt détecte les volumes Truecrypt

6 commentaires

TCHunt est un logiciel gratuit mais pas open-source qui permet de détecter les volumes (fichiers, conteneurs) Truecrypt. La version stable de TCHunt vient de sortir (6 mai 2009) et elle est téléchargeable ici. Il a été écrit en C++ et le Gui (qui n’est pas disponible au publique) avec wsWidgets.

tchunt3

Les auteurs de TCHunt ne veulent pas révéler leurs code source toutefois ils donnent quelques indications sur le fonctionnement du logiciel (à prendre avec des pincettes) :

  1. Dans un premier temps, TCHunt recherche tous les fichiers qui n’ont pas d’entête (file header). C’est une des propriétés fondamentales de Truecrypt que de ne pas créer des entêtes portant la marque de Truecrypt.
  2. Sur ces fichiers il ne sera conservé que les fichier divisibles par 512. Du fait des modes d’opération de chiffrement de disque tel que LRW ou XTS, tous les blocs à chiffrer sont regroupé en secteur de 512 bytes. Les auteurs affirment qu’en moyenne 11% des fichiers d’un ordinateur sous Windows correspondent à ces 2 conditions. Sur un PC ayant 200 000 fichiers cela fait quand même prêt de 22 000 fichiers.
  3. Sur les fichiers restant TCHunt applique la loi de (khi-deux) et enfin une moyenne Arithmétique sur certain bytes. C’est bien sur cette partie la plus intéressante dont les auteurs parlent le moins. Ils précisent toutefois qu’ils permettent alors d’isoler 0.01% des fichiers suspect ainsi.
  4. Et enfin si les fichiers résultant n’ont pas le même entête alors TCHunt les considérera comme étant des fichiers TC. Car il est impossible que 2 volumes TC différent aient le même entête.

Toutefois rien n’est parfait, les auteurs ne garantissent pas que le programme trouvera tout vos volumes truecrypt, des faux-positif et des faux-négatif (ne pas détecter un fichier TC) sont possibles.

Cet applicatif renforce la nécessité de créer des volumes caché (hidden volume) dans les volumes Truecrypt.

Commentaire sur TCHunt et le déni plausible:

Beaucoup se demande si l’apparition de TCHunt signifie la fin du déni plausible. La réponse n’est pas simple car TCHunt ne permet pas de prouver qu’un fichier aléatoire est un fichier truecrypt. Il permet simplement de suspecter. Pour prouver qu’un fichier aléatoire est un fichier truecrypt il faut connaitre obligatoirement le mot de passe.

Plus d’infos sur le site officiel.

Chiffrement

Le chiffrement de disque

Laisser un commentaire

Je travail depuis quelques semaine sur le chiffrement de disque. Je publierais dans quelques semaines sur le blog une introduction au chiffrement de disque issue des travaux de plusieurs chercheurs. Et je m’en servirai peut être pour écrire la page wikipedia (fr) à ce sujet qui n’existe pas encore.

Cette introduction au chiffrement de disque sera surement une partie de mon mémoire de fin d’étude. Tout dépendra du besoin du client, et de la profondeur de l’étude recherché ainsi que ses implémentations industriel.