Szyfrowanie dysków a kryminalistyka cyfrowa – punkt wyjścia
Rola szyfrowania pełnodyskowego w pracy biegłych
Szyfrowanie pełnodyskowe (BitLocker, VeraCrypt, LUKS, FileVault i inne) zmieniło realia pracy biegłych z kryminalistyki cyfrowej. Jeszcze kilkanaście lat temu typowy dysk z komputera podejrzanego dawało się po prostu sklonować i analizować sektor po sektorze. Dziś coraz częściej biegły po podłączeniu nośnika widzi jedynie pozornie losowy strumień bajtów, bez czytelnego systemu plików. W takim scenariuszu kluczowy staje się nie sam dysk, ale klucz szyfrujący – wszystko inne bywa jedynie tłem procesowym.
Szyfrowanie pełnodyskowe realizuje ideę: bez poprawnego klucza dane są praktycznie nie do odzyskania konwencjonalnymi metodami. Oznacza to, że biegły może dysponować zaawansowanymi narzędziami, specjalistycznym oprogramowaniem i czasem, a i tak jego praca sprowadzi się do próby uzyskania dostępu do kluczy lub haseł. Analiza samego obrazu zaszyfrowanego dysku ma sens głównie na etapie rozpoznania rodzaju szyfrowania i parametrów, ewentualnie w razie uszkodzeń metadanych.
Z perspektywy organów ścigania szyfrowanie pełnodyskowe bywa barierą nie do przeskoczenia, jeśli użytkownik zadbał o silne hasło i poprawną konfigurację. Z drugiej strony biegli bardzo często korzystają z błędów proceduralnych, złych nawyków użytkowników, nieprzemyślanych polityk bezpieczeństwa lub luk w implementacji, aby obejść tę barierę lub ją osłabić.
Szyfrowanie plików a szyfrowanie dysku – dlaczego to ważne dla biegłego
Istotne jest rozróżnienie między szyfrowaniem wybranych plików a szyfrowaniem całego dysku / woluminu. Z punktu widzenia kryminalistyki cyfrowej różnica jest zasadnicza:
przy szyfrowaniu plików (np. archiwa ZIP z hasłem, kontenery z danymi) biegły zwykle widzi system plików i resztę danych w formie otwartej, a jedynie wybrane pliki są zaszyfrowane;
przy szyfrowaniu pełnodyskowym (BitLocker, VeraCrypt FDE, LUKS, FileVault) cały system plików, MFT, nazwy plików, miniatury – wszystko – jest szyfrowane, a bez klucza nie ma nawet punktu zaczepienia.
Przy szyfrowaniu plików często pomaga analiza kontekstu: nazwy plików, lokalizacja, kopie tymczasowe, wersje robocze. System operacyjny może też pozostawiać ślady w plikach tymczasowych czy pamięci podręcznej. Przy pełnym szyfrowaniu dysku kluczowe jest to, czy komputer był w danym momencie odblokowany, czy klucze znajdowały się w RAM, oraz czy istnieją dodatkowe mechanizmy uwierzytelniania (TPM, PIN, klucz USB).
Kontekst prawny i wymuszone ujawnianie haseł
Biegły działa zawsze w określonym kontekście prawnym. W wielu jurysdykcjach możliwość wymuszenia ujawnienia hasła lub klucza (np. klucza odzyskiwania BitLocker) bywa ograniczona przepisami o ochronie tajemnicy zawodowej, prawem do obrony czy zakazem samooskarżania się. W innych państwach istnieją przepisy, które przewidują sankcje karne za odmowę wydania hasła do zaszyfrowanych danych.
Z punktu widzenia praktyki dochodzeniowej istotne jest rozdzielenie ról: biegły nie wymusza haseł, ale może wskazywać organom ścigania, czy dany nośnik jest zaszyfrowany, jakie są realne szanse techniczne odszyfrowania i czy presja na podejrzanego ma sens. Jeśli szyfrowanie jest silne, a hasło nie jest trywialne, często jedyną realną drogą jest współpraca użytkownika lub pozyskanie hasła z innych źródeł (notatki, menedżer haseł, nagrania, podsłuch).
Kiedy szyfrowanie jest problemem kryminalistycznym, a kiedy tylko ograniczeniem
Szyfrowanie dysku nie jest z definicji „przeszkodą kryminalistyczną”. Staje się takim wówczas, gdy:
ma znaczenie dla sprawy (na dysku mogą znajdować się istotne dowody),
brak jest łatwego dostępu do kluczy (np. brak kluczy odzyskiwania w infrastrukturze firmowej),
użytkownik odmawia współpracy.
Jeśli nośnik jest zaszyfrowany, ale istnieje legalny dostęp do kluczy (np. w firmie stosuje się MDM lub przechowywanie kluczy BitLocker w Active Directory / Azure AD), szyfrowanie staje się ograniczeniem organizacyjnym, a nie barierą techniczną. Wtedy zadaniem biegłego jest raczej poprawne zaplanowanie pozyskania klucza i udokumentowanie procesu, niż „łamanie” szyfrowania.
W wielu przypadkach problemem nie jest samo szyfrowanie, lecz błędy popełnione przy zabezpieczaniu urządzenia. Wyłączenie włączonego laptopa z odblokowanym dyskiem, nieudokumentowanie stanu systemu czy nieprzemyślany dostęp zdalny mogą bezpowrotnie utracić szansę na wyciągnięcie klucza z pamięci RAM.
Źródło: Pexels | Autor: Markus Spiske
Jak działają BitLocker, VeraCrypt i inne rozwiązania – fundament pod analizę
Klucz główny, klucze pośrednie i algorytmy szyfrowania
Większość rozwiązań szyfrowania dysków opiera się na podobnej koncepcji: istnieje klucz główny (volume master key, VMK), którym chronione są klucze niższego poziomu (np. FVEK w BitLocker). Ten z kolei szyfruje konkretne bloki danych na dysku. Hasło użytkownika lub inne metody uwierzytelniania (PIN, smart card, klucz USB) nie szyfrują bezpośrednio zawartości dysku, lecz służą do odszyfrowania lub odblokowania klucza głównego.
Najpopularniejszym algorytmem szyfrującym w szyfrowaniu pełnodyskowym jest AES (Advanced Encryption Standard), zwykle w trybie XTS z kluczem 128 lub 256 bitów. Tryb XTS został zaprojektowany specjalnie z myślą o dyskach – niweluje część słabości prostego trybu CBC w kontekście sektorów o stałym rozmiarze i braku losowego IV dla każdego sektora.
Dodatkowo stosuje się funkcje wyprowadzania kluczy (KDF – Key Derivation Function), takie jak PBKDF2, scrypt czy własne implementacje (np. VeraCrypt stosuje własny mechanizm z dużą liczbą iteracji). KDF ma za zadanie utrudnić ataki słownikowe i brute-force, wydłużając czas potrzebny na przetestowanie pojedynczego hasła.
BitLocker – integracja z TPM i tryby uwierzytelniania
BitLocker w systemach Windows integruje się głęboko z systemem operacyjnym i modułem TPM (Trusted Platform Module). Typowe tryby pracy BitLocker to:
TPM-only – dysk odblokowuje się automatycznie, jeśli komputer przechodzi poprawny proces startu; użytkownik nie podaje hasła przy starcie;
TPM + PIN – wymagany jest PIN przy uruchomieniu, a TPM przechowuje klucze zabezpieczone tym PIN-em;
TPM + USB key – dodatkowy klucz znajduje się na pendrive’ie podłączanym przy starcie;
hasło bez TPM – klucz jest powiązany wyłącznie z hasłem podawanym przy starcie, bez użycia TPM;
BitLocker To Go – szyfrowanie dysków wymiennych; klucz chroniony zwykle hasłem lub smart card.
Dla biegłego sposób konfiguracji BitLocker ma kluczowe znaczenie. Konfiguracja TPM-only bywa wygodna dla użytkownika, ale bywa też szansą dla analityka: jeśli komputer jest włączony i odblokowany, dysk pozostaje odszyfrowany, a klucze znajdują się w RAM. Z kolei konfiguracja z silnym PIN-em i bez kluczy odzyskiwania w infrastrukturze znacznie podnosi poziom trudności.
BitLocker przechowuje metadane szyfrowania w strukturach FVE metadata na dysku systemowym. Analiza tych metadanych pozwala ustalić m.in. zastosowane algorytmy, listę dostępnych identyfikatorów kluczy (Key Protector), informacje o kluczach odzyskiwania oraz stan szyfrowania (w trakcie, zakończone, częściowe).
VeraCrypt – kontenery, ukryte woluminy i PIM
VeraCrypt, jako następca TrueCrypt, jest narzędziem popularnym wśród bardziej świadomych technicznie użytkowników. Pozwala zarówno na tworzenie kontenerów plikowych, jak i szyfrowanie całych partycji lub dysków systemowych. Dla biegłych szczególnie istotne są trzy mechanizmy:
ukryte woluminy – w ramach jednego kontenera lub partycji można mieć wolumin „zewnętrzny” i „ukryty”; ujawnienie hasła do zewnętrznego nie pozwala udowodnić istnienia ukrytego;
PIM (Personal Iterations Multiplier) – parametr wpływający na liczbę iteracji KDF, a tym samym na czas potrzebny na wyliczenie klucza z hasła; wyższy PIM utrudnia ataki bruteforce;
dowolne kombinacje algorytmów – możliwość kaskadowania (np. AES-Twofish-Serpent) oraz wybór różnych KDF (PBKDF2 z SHA-512, Whirlpool, itp.).
W praktyce biegły musi najpierw rozpoznać, że ma do czynienia z VeraCrypt/TrueCrypt. Po sygnaturze nagłówka lub rozkładzie entropii można zidentyfikować potencjalny kontener. Następny etap to próba ustalenia, czy jest to wolumin standardowy, czy systemowy, oraz czy istnieją przesłanki wskazujące na użycie woluminu ukrytego. Brak informacji o PIM znacznie komplikuje próby łamania hasła, gdyż każda kombinacja hasło+PIM musi być sprawdzana osobno.
Inne popularne technologie: FileVault, LUKS i FDE korporacyjne
Poza BitLockerem i VeraCryptem biegli często spotykają:
FileVault 2 – macOS; szyfrowanie dysku realizowane w warstwie systemu, silnie zintegrowane z Apple ID, odzyskiwaniem przez iCloud lub klucze drukowane użytkownikowi;
LUKS, FileVault i rozwiązania sprzętowe na poziomie kontrolera
Pełne szyfrowanie dysku w środowiskach linuksowych najczęściej realizowane jest przez LUKS (Linux Unified Key Setup). Metadane LUKS znajdują się zwykle w nagłówku partycji i zawierają m.in. informacje o zastosowanych algorytmach, parametrach KDF oraz kilka „slotów” na klucze. Można mieć więc kilka różnych haseł odblokowujących ten sam klucz główny. Gdy użytkownik zmienia hasło, zmienia się zawartość danego slotu, a nie klucz szyfrujący dysk.
Dla biegłego typowe kroki to:
identyfikacja sygnatury LUKS w nagłówku partycji,
zgranie nagłówka i jego zabezpieczenie (bez niego odszyfrowanie danych staje się praktycznie niemożliwe),
analiza parametrów KDF (PBKDF2, Argon2) i ustawionych iteracji w kontekście potencjalnego ataku słownikowego.
LUKS 2 oferuje bardziej elastyczne i często cięższe obliczeniowo KDF (Argon2id), co przekłada się na wolniejsze sprawdzanie haseł. Przy niewłaściwym postępowaniu (np. nadpisaniu nagłówka podczas nieudanych napraw partycji) szanse na odzyskanie danych drastycznie spadają.
FileVault 2 w macOS opiera się na mechanizmie CoreStorage (starsze wersje) lub APFS z natywnym szyfrowaniem. Klucze są sprzężone z kontem użytkownika, Secure Enclave oraz – opcjonalnie – kluczem odzyskiwania powiązanym z Apple ID lub wydrukiem. W przypadku środowisk firmowych istotne są rozwiązania MDM i escrow kluczy w systemach zarządzania urządzeniami Apple. Jeśli organizacja poprawnie wdrożyła MDM, odzyskanie klucza bywa formalnością administracyjną, a nie zadaniem kryminalistycznym.
Osobną kategorię stanowią rozwiązania sprzętowe na poziomie kontrolera dysku (tzw. SED – Self Encrypting Drive). Szyfrowanie jest wówczas realizowane w firmware dysku, a system operacyjny komunikuje się z nim jak z „normalnym” nośnikiem. Mechanizmy blokady (hasła ATA, opcodes TCG Opal) bywają słabo udokumentowane, a ich analiza wymaga narzędzi do obsługi specyficznych komend ATA/SCSI. Dla biegłego kluczowe jest ustalenie, czy szyfrowanie jest realizowane programowo, czy sprzętowo – od tego zależy wybór narzędzi i realne możliwości ataku.
Źródło: Pexels | Autor: Tibe De Kort
Typowe scenariusze sprawy: co biegły naprawdę zastaje na miejscu
Włączony komputer z odblokowanym dyskiem
Najbardziej komfortowa sytuacja to stacja robocza lub laptop, który jest włączony, zalogowany, a zaszyfrowany dysk jest aktualnie odblokowany. BitLocker, FileVault czy LUKS trzymają wówczas odpowiednie klucze w pamięci RAM, a system plików jest widoczny. W takim scenariuszu głównym celem nie jest od razu „robienie obrazu dysku”, lecz utrzymanie stanu odblokowania tak długo, jak to możliwe i bez wprowadzania zmian istotnych z punktu widzenia dowodowego.
Typowe działania to:
szybkie udokumentowanie stanu ekranu, listy otwartych aplikacji, zamontowanych woluminów,
wykonanie obrazu pamięci RAM odpowiednimi narzędziami (zależnie od systemu),
ewentualne zdalne skopiowanie wybranych danych, jeśli istnieje ryzyko nagłej utraty zasilania,
dopiero w dalszej kolejności – planowe wyłączenie i klasyczne obrazowanie dysku, jeśli jest to konieczne.
Każde gwałtowne działanie – odłączenie zasilania, zamknięcie pokrywy laptopa przy włączonym szyfrowaniu, restart – może spowodować utratę kluczy z RAM i zamknięcie zaszyfrowanego woluminu. Wtedy problem z prostego kopiowania danych przechodzi w próbę łamania haseł.
Uśpiony lub zablokowany system – szansa czy już po wszystkim
Komputery przenośne są często zastawane w stanie uśpienia (suspend/sleep) lub z zablokowaną sesją użytkownika. To, czy w takim stanie klucze są nadal dostępne w RAM, zależy od trybu zasilania i konfiguracji systemu:
sleep (S3) – zawartość RAM pozostaje w zasilonej pamięci; po wybudzeniu system wraca do poprzedniego stanu, więc klucze szyfrujące często są dalej obecne,
hibernacja (S4) – stan pamięci jest zapisywany na dysku (plik hibernacji), a RAM jest zerowany; po ponownym uruchomieniu trzeba ponownie podać hasło/PIN do szyfrowania,
hybrid sleep – połączenie obu mechanizmów; interpretacja sytuacji bywa trudniejsza.
Jeśli analiza na miejscu wskaże, że sprzęt znajduje się w zwykłym uśpieniu, decyzja o nieodłączaniu zasilania i zabezpieczeniu urządzenia w tym stanie (np. z użyciem UPS, specjalnych obudów, kontrolowanego transportu) może być kluczowa. Celem jest wtedy możliwie szybkie przeprowadzenie transferu do laboratorium, wybudzenie systemu w kontrolowanych warunkach i wykonanie zrzutu RAM.
Wyłączony komputer i nośnik z pełnym szyfrowaniem
Najtrudniejszy scenariusz to laptop lub stacjonarny komputer, który jest całkowicie wyłączony, a dysk jest chroniony pełnym szyfrowaniem. Bez klucza lub hasła jedyną droga jest wtedy analiza metadanych szyfrowania, ocena realnej siły zastosowanych mechanizmów i ewentualne próby łamania. W praktyce:
zabezpiecza się fizycznie nośnik (lub całe urządzenie, jeśli klucz może być związany z TPM),
wykonywany jest bitowy obraz dysku bez żadnych modyfikacji,
analizowane są metadane szyfrowania (nagłówki BitLocker, LUKS, kontener VeraCrypt),
zbierane są wszelkie informacje kontekstowe: notatki z hasłami, nośniki z kluczami USB, dokumentacja firmowa.
Na tym etapie biegły często pełni rolę doradczą: przedstawia organom ścigania opcje (presja na podejrzanego, przeszukanie pod kątem zapisanych haseł, analiza innych urządzeń z tym samym użytkownikiem) oraz szacuje, czy próby łamania mają ekonomiczny sens.
Środowisko firmowe z centralnym zarządzaniem szyfrowaniem
W organizacjach, gdzie szyfrowanie dysków jest wymuszane politykami bezpieczeństwa, sytuacja zwykle wygląda inaczej niż u użytkownika domowego. BitLocker bywa zintegrowany z Active Directory lub Azure AD, FileVault z rozwiązaniami MDM, a LUKS z serwerami zarządzającymi stacjami roboczymi. W takim kontekście możliwe są scenariusze, w których:
istnieją klucze odzyskiwania przechowywane w centralnym repozytorium,
systemy logowania jednokrotnego (SSO) integrują hasła użytkowników z mechanizmami odszyfrowywania dysku,
szyfrowanie jest powiązane z tożsamościami domenowymi lub certyfikatami.
Rolą biegłego staje się wówczas ustalenie, jakie procedury obowiązują w danej organizacji, gdzie konkretnie są przechowywane klucze, kto ma do nich dostęp oraz jakie formalności są konieczne, aby je pozyskać zgodnie z prawem. Techniczne „łamanie” szyfrowania schodzi na dalszy plan, a nacisk przenosi się na stronę organizacyjno-prawną i poprawne udokumentowanie całego procesu.
Źródło: Pexels | Autor: Antoni Shkraba Studio
Faza zabezpieczenia – jak nie zniszczyć sobie szans na dostęp
Bilans ryzyka: zabezpieczać na miejscu czy od razu odłączać
Decyzje podejmowane w pierwszych minutach po wejściu na miejsce mają ogromny wpływ na późniejsze możliwości analizy. Ryzyko dzieli się zazwyczaj na dwa główne obszary:
ryzyko modyfikacji danych – działania podejmowane na żywym systemie (zrzut RAM, uruchamianie narzędzi, podłączanie sieci).
Jeśli istnieje szansa, że klucze szyfrujące są w RAM (komputer włączony lub uśpiony), priorytetem staje się ich zabezpieczenie przed utratą. Może to oznaczać podłączenie zasilania, zablokowanie funkcji automatycznego uśpienia, odłączenie od sieci, a dopiero potem planowe działania analityczne. Jeżeli natomiast sprzęt jest wyłączony, a szyfrowanie aktywne, najważniejsze staje się utrzymanie integralności nośników i unikanie wszelkich operacji, które mogłyby nadpisać metadane szyfrowania.
Minimalizacja ingerencji w działający system
Praca na żywym systemie zawsze wiąże się z pozostawieniem śladów: nowe wpisy w logach, zmiany w plikach tymczasowych, dodatkowe procesy w pamięci. Nie da się tego w pełni uniknąć, ale można ograniczyć skalę skutków. Do podstawowych zasad należą:
stosowanie narzędzi sprawdzonych kryminalistycznie, które minimalizują zapis na dysk,
praca z nośników tylko do odczytu (np. bootowalne środowiska z write-blockerami),
dokładne dokumentowanie każdego kroku, aby później móc wyjaśnić ewentualne ślady działań biegłego.
Przy laptopach z pełnym szyfrowaniem niekiedy korzystniejsze bywa utrzymanie systemu w stanie zalogowanym i ograniczenie się do zrzutu RAM, a dopiero po nim wykonanie klasycznego obrazowania dysku z użyciem narzędzi offline. Decyzja zależy od ryzyka utraty zasilania, obecności mechanizmów zdalnego kasowania oraz priorytetów dochodzenia.
Bezpieczny transport i przechowywanie zaszyfrowanych nośników
Zaszyfrowany dysk sam w sobie jest dość odporny na utratę poufności, ale pozostaje nośnikiem dowodowym, który musi zachować integralność. Obejmuje to nie tylko ochronę przed uszkodzeniem fizycznym, lecz także przed nieuprawnionymi próbami odszyfrowania lub „podłożenia” danych. Standardem jest:
opakowanie nośników w zabezpieczone, zaplombowane koperty lub pudełka,
prowadzenie dokumentacji łańcucha dowodowego (chain of custody),
Najczęściej zadawane pytania (FAQ)
Czy BitLocker i VeraCrypt da się złamać metodami kryminalistycznymi?
Technicznie samo szyfrowanie (AES-XTS z poprawną implementacją) jest na dzisiejszym poziomie wiedzy praktycznie nie do złamania brute-force, jeśli hasło jest silne. Biegli nie „łamią” więc algorytmu, tylko szukają dostępu do kluczy: w pamięci RAM, w kopiach zapasowych, w infrastrukturze firmowej lub poprzez błędy użytkownika.
W praktyce szyfrowanie pada wtedy, gdy:
komputer był włączony i odszyfrowany w momencie zabezpieczania,
klucze odzyskiwania są zapisane w AD/Azure AD, MDM lub na kontach użytkownika,
hasło jest słabe i podatne na ataki słownikowe.
Silne hasło + poprawna konfiguracja często oznacza, że bez współpracy użytkownika danych nie da się odzyskać.
Jak biegli omijają szyfrowanie pełnodyskowe BitLocker/VeraCrypt?
Główne kierunki to nie atak na sam algorytm, lecz na otoczenie systemu. Typowe techniki to:
pozyskanie kluczy z pamięci RAM (tzw. live forensics, ataki „cold boot”),
analiza działającego systemu, gdy dysk jest już odszyfrowany,
Jeśli biegły przejmie laptop w stanie zalogowanym, często może od razu wykonać obraz logiczny odszyfrowanego systemu zamiast walczyć z zaszyfrowanym nośnikiem.
Drugą grupą metod są ataki na nawyki użytkownika: powtarzane hasła, karteczki z PIN-em, używanie tego samego hasła do poczty i szyfrowania, nieświadome zostawianie kluczy na pendrive’ach czy w chmurze.
Czym różni się szyfrowanie dysku od szyfrowania plików w kontekście śledztwa?
Przy szyfrowaniu plików (np. archiwa ZIP, kontenery VeraCrypt niesystemowe) biegły widzi system plików, nazwy katalogów, metadane, a zasłonięte są tylko wybrane obiekty. To pozwala analizować kontekst – lokalizację, pliki tymczasowe, kopie robocze, historię dokumentów – i szukać dodatkowych śladów poza samym zaszyfrowanym plikiem.
Przy szyfrowaniu pełnodyskowym wszystko – MFT, nazwy plików, struktura katalogów – jest nieczytelne bez klucza. Jeśli dysk trafi do laboratorium w stanie zablokowanym, biegły widzi jednolity ciąg zaszyfrowanych sektorów i może co najwyżej rozpoznać typ szyfrowania oraz parametry, ale nie dotrze do właściwych danych.
Czy policja może zmusić do podania hasła do BitLocker lub VeraCrypt?
To zależy od kraju i roli osoby w postępowaniu. W części jurysdykcji obowiązuje silna ochrona przed samooskarżaniem się i tajemnica zawodowa, co utrudnia lub wręcz uniemożliwia prawne wymuszenie hasła. W innych istnieją przepisy wprost przewidujące kary za odmowę ujawnienia klucza do zaszyfrowanych danych.
Biegły sądowy sam nie „wymusza” hasła – jego zadaniem jest jedynie ustalenie, czy nośnik jest zaszyfrowany, jakie są realistyczne szanse techniczne odszyfrowania oraz czy dostęp do danych można uzyskać innymi drogami (klucze odzyskiwania, infrastrukturę firmy, kopie zapasowe). Decyzje o środkach prawnych podejmują organy ścigania i sąd.
Kiedy szyfrowanie dysku jest realną barierą dla śledztwa, a kiedy tylko utrudnieniem?
Szyfrowanie staje się poważną barierą, jeśli:
na nośniku mogą znajdować się kluczowe dowody,
brakuje technicznego dostępu do kluczy (np. firma nie archiwizuje kluczy odzyskiwania),
użytkownik nie współpracuje, a hasło jest silne i unikalne.
Wtedy bez błędu konfiguracyjnego, luki w implementacji lub dodatkowego źródła haseł dostęp bywa nierealny.
Jeżeli natomiast firma przechowuje klucze BitLocker w AD/Azure AD, korzysta z MDM, a sprzęt został przejęty w sposób kontrolowany, szyfrowanie jest głównie zagadnieniem organizacyjnym (trzeba właściwie sięgnąć po klucze i całość udokumentować), a nie techniczną „ścianą”.
Dlaczego stan komputera w momencie zabezpieczenia ma tak duże znaczenie?
W szyfrowaniu pełnodyskowym klucze deszyfrujące znajdują się w pamięci RAM tylko wtedy, gdy wolumin jest odblokowany. Jeśli funkcjonariusz wyłączy włączony, odszyfrowany laptop, traci jednorazową szansę na zrzut pamięci i wydobycie kluczy. Po ponownym uruchomieniu system znów wymaga hasła, PIN-u lub klucza sprzętowego.
Dlatego w procedurach kryminalistycznych tak duży nacisk kładzie się na prawidłowe zabezpieczanie żywych systemów: zrzut RAM, dokumentację ekranu, unikanie niepotrzebnego restartu, izolację sieciową zamiast natychmiastowego „twardego” wyłączenia.
Czy ukryte woluminy VeraCrypt są wykrywalne dla biegłego?
Ukryty wolumin VeraCrypt jest zaprojektowany w taki sposób, aby z punktu widzenia dysku wyglądał jak losowe dane nieodróżnialne od „szumu” w wolnym obszarze. Biegły może wykryć, że kontener lub partycja są zaszyfrowane VeraCryptem, ale nie ma jednoznacznej technicznej metody, aby udowodnić istnienie ukrytego woluminu, jeśli użytkownik poda tylko hasło do zewnętrznego.
W praktyce analiza skupia się wtedy na spójności historii użytkownika: logikę użycia komputera, brak śladów otwierania „rzekomo najważniejszych” plików, różnice między deklarowanym a faktycznym profilem aktywności. Technicznie jednak sam fakt istnienia ukrytego woluminu pozostaje bardzo trudny do wykazania.
Bibliografia i źródła
NIST Special Publication 800-111: Guide to Storage Encryption Technologies for End User Devices. National Institute of Standards and Technology (2007) – Przegląd technologii szyfrowania dysków i nośników
NIST Special Publication 800-132: Recommendation for Password-Based Key Derivation. National Institute of Standards and Technology (2010) – Zalecenia dot. PBKDF2 i wyprowadzania kluczy z haseł
IEEE Std 1619-2007: Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices. IEEE (2008) – Specyfikacja trybu XTS dla szyfrowania danych na dyskach
Trusted Platform Module Library Specification 2.0. Trusted Computing Group (2019) – Opis funkcji TPM istotnych dla BitLocker i innych FDE
Microsoft BitLocker Administration and Technical Overview. Microsoft – Opis architektury BitLocker, VMK/FVEK, trybów TPM i odzyskiwania
VeraCrypt User Guide. IDRIX – Opis mechanizmów szyfrowania, KDF i konfiguracji VeraCrypt
Linux Unified Key Setup (LUKS) On-Disk Format Specification. Linux Foundation – Specyfikacja formatu LUKS stosowanego do szyfrowania dysków
Apple Platform Security: FileVault. Apple – Opis działania FileVault, zarządzania kluczami i integracji z systemem
Casey, Eoghan: Digital Evidence and Computer Crime. Academic Press (2011) – Podstawy kryminalistyki cyfrowej, procedury zabezpieczania nośników
