Whonix-rutten.
Välj ditt värd-OS (det OS som är installerat på din bärbara dator).
Den här rutten kommer att använda virtuella maskiner i stor utsträckning, och de kräver ett värdoperativsystem för att köra virtualiseringsprogramvaran. Du har 3 rekommenderade val i den här delen av guiden:
- Din valda Linux-distribution (exklusive Qubes OS)
- Windows 10 (helst Home Edition på grund av avsaknaden av Bitlocker)
- MacOS (Catalina eller högre)
Dessutom är risken stor att din Mac är eller har varit knuten till ett Apple-konto (vid köptillfället eller efter inloggning) och därför kan dess unika hårdvaruidentifierare leda tillbaka till dig i händelse av läckage av hårdvaruidentifierare.
Linux är inte heller nödvändigtvis det bästa valet för anonymitet beroende på din hotmodell. Detta beror på att användning av Windows gör det möjligt för oss att enkelt använda Plausible Deniability (aka Deniable Encryption) enkelt på OS-nivå. Windows är också tyvärr samtidigt en mardröm för privatlivet men är det enda (praktiska) alternativet för att använda OS-brett plausibelt förnekande. Windows telemetri och telemetriblockering är också allmänt dokumenterad vilket bör mildra många problem.
Så, vad är plausibel förnekbarhet? Det är möjligheten för dig att samarbeta med en motståndare som begär åtkomst till din enhet/data utan att avslöja din sanna hemlighet. Allt detta med hjälp av förnekbar kryptering.
En mjuk laglig motståndare kan be om ditt krypterade lösenord för bärbar dator. Till en början kan du vägra att lämna ut något lösenord (med hjälp av din "rätt att tiga", "rätt att inte belasta dig själv") men vissa länder inför lagar som undantar detta från sådana rättigheter (på grund av terrorister och "tänk på barnen"). I så fall kan du bli tvungen att avslöja lösenordet eller kanske dömas till fängelse för domstolstrots. Det är här plausibel förnekbarhet kommer att spela in.
Du kan då avslöja ett lösenord, men det lösenordet ger bara tillgång till "trovärdiga data" (ett låtsas-OS). Kriminalteknikerna kommer att vara väl medvetna om att det är möjligt för dig att ha dolt data men bör inte kunna bevisa detta
(om du gör detta rätt). Du kommer att ha samarbetat och utredarna kommer att ha tillgång till något, men inte det du faktiskt vill dölja. Eftersom bevisbördan ligger på deras sida kommer de inte att ha något annat val än att tro på dig om de inte har bevis för att du har dolda data.
Den här funktionen kan användas på OS-nivå (ett troligt OS och ett dolt OS) eller på filnivå där du har en krypterad filbehållare (liknande en zip-fil) där olika filer visas beroende på det krypteringslösenord du använder.
Detta innebär också att du kan skapa din egen avancerade "plausibel förnekelse"-konfiguration med hjälp av valfritt värdoperativsystem genom att lagra t.ex. virtuella maskiner på en dold Veracrypt-volymbehållare (var försiktig med spår i värdoperativsystemet som måste rensas om värdoperativsystemet är beständigt, se avsnittet
Några ytterligare åtgärder mot kriminalteknik senare). Det finns ett projekt för att uppnå detta inom Tails
(https://github.com/aforensics/HiddenVM [Archive.org]) som skulle göra ditt Host OS icke beständigt och använda plausibel förnekbarhet inom Tails.
När det gäller Windows är plausibel deniability också anledningen till att du helst bör ha Windows 10 Home (och inte Pro). Detta beror på att Windows 10 Pro nativt erbjuder ett fulldiskkrypteringssystem (Bitlocker) där Windows 10 Home inte erbjuder någon fulldiskkryptering alls. Vi kommer senare att använda en tredjeparts programvara med öppen källkod för kryptering som tillåter fulldiskkryptering på Windows 10 Home. Detta ger dig en bra (trovärdig) ursäkt för att använda denna programvara. Att använda den här programvaran på Windows 10 Pro skulle vara misstänksamt.
Notera om Linux: Så, hur är det med Linux och trovärdig förnekbarhet? Ja, det är faktiskt möjligt att uppnå plausibel förnekelse med Linux också. Men det är komplicerat att konfigurera och IMHO kräver en skicklighetsnivå som är tillräckligt hög för att du förmodligen inte behöver den här guiden för att hjälpa dig att prova det.
Tyvärr är kryptering inte magi och det finns vissa risker involverade:
Hot med kryptering.
Skiftnyckeln för 5 dollar.
Kom ihåg att kryptering med eller utan plausibel förnekbarhet inte är en silverkula och kommer att vara till liten nytta i händelse av tortyr. Beroende på vem din motståndare skulle vara (din hotmodell) kan det faktiskt vara klokt att inte använda Veracrypt (tidigare TrueCrypt) alls, vilket visas i denna demonstration:
https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]
Troligt förnekande är endast effektivt mot mjuka, laglydiga motståndare som inte kommer att ta till fysiska medel.
Undvik, om möjligt, att använda programvara som kan användas för plausibel förnekelse (t.ex. Veracrypt) om din hotmodell inkluderar hårda motståndare. Windows-användare bör i så fall installera Windows Pro som Host OS och använda Bitlocker i stället.
Se
https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]
Evil-Maid-attack.
Evil Maid Attacks utförs när någon manipulerar med din bärbara dator medan du är borta. För att installera för att klona din hårddisk, installera skadlig kod eller en nyckelloggare. Om de kan klona din hårddisk kan de jämföra en bild av din hårddisk vid den tidpunkt då de tog den medan du var borta med hårddisken när de beslagtar den från dig. Om du använde den bärbara datorn igen däremellan kan kriminaltekniker kanske bevisa att det finns dolda data genom att titta på variationerna mellan de två bilderna i vad som borde vara ett tomt/ oanvänt utrymme. Detta kan leda till starka bevis för att det finns dolda data. Om de installerar en key logger eller skadlig kod i din bärbara dator (programvara eller hårdvara) kan de helt enkelt få lösenordet från dig för senare användning när de beslagtar den. Sådana attacker kan ske i ditt hem, på ditt hotell, vid en gränsövergång eller var som helst där du lämnar dina enheter obevakade.
Du kan motverka den här attacken genom att göra följande (enligt tidigare rekommendationer):
- Ha ett grundläggande manipulationsskydd (som förklarats tidigare) för att förhindra fysisk åtkomst till den bärbara datorns interna delar utan din vetskap. Detta kommer att förhindra dem från att klona dina diskar och installera en fysisk nyckelloggare utan din vetskap.
- Inaktivera alla USB-portar (som förklarats tidigare) i ett lösenordsskyddat BIOS/UEFI. Återigen, de kommer inte att kunna slå på dem (utan att fysiskt komma åt moderkortet för att återställa BIOS) för att starta en USB-enhet som kan klona din hårddisk eller installera en mjukvarubaserad skadlig kod som kan fungera som en nyckelloggare.
- Konfigurera BIOS/UEFI/Firmware-lösenord för att förhindra obehörig start av en obehörig enhet.
- Vissa operativsystem och krypteringsprogram har ett anti-EvilMaid-skydd som kan aktiveras. Detta är fallet med Windows/Veracrypt och QubeOS.
Attack med kall start.
Cold Boot-attacker är knepigare än Evil Maid-attacken men kan vara en del av en Evil Maid-attack eftersom det kräver att en motståndare kommer i besittning av din bärbara dator medan du aktivt använder din enhet eller kort därefter.
Idén är ganska enkel, som visas i den här videon, kan en motståndare teoretiskt sett snabbt starta upp din enhet på en speciell USB-nyckel som kopierar innehållet i enhetens RAM (minnet) efter att du har stängt av den. Om USB-portarna är inaktiverade eller om de känner att de behöver mer tid, kan de öppna den och "kyla ner" minnet med hjälp av en spray eller andra kemikalier (flytande kväve till exempel) som förhindrar att minnet förfaller. De skulle då kunna kopiera innehållet för analys. Denna minnesdump kan innehålla nyckeln till att dekryptera din enhet. Vi kommer senare att tillämpa några principer för att mildra dessa.
När det gäller Plausible Deniability har det gjorts några kriminaltekniska studier om att tekniskt bevisa närvaron av dolda data med en enkel kriminalteknisk undersökning (utan en Cold Boot / Evil Maid Attack) men dessa har ifrågasatts av andra studier och av underhållaren av Veracrypt så jag skulle inte oroa mig för mycket för dem ännu.
Samma åtgärder som används för att mildra Evil Maid-attacker bör vara på plats för Cold Boot-attacker med några tillagda:
- Om ditt operativsystem eller krypteringsprogram tillåter det, bör du överväga att kryptera nycklarna i RAM också (detta är möjligt med Windows / Veracrypt och kommer att förklaras senare)
- Du bör begränsa användningen av Sleep stand-by och istället använda Shutdown eller Hibernate för att förhindra att krypteringsnycklarna stannar kvar i RAM när datorn går i viloläge. Detta beror på att sömn kommer att upprätthålla ström till ditt minne för att återuppta din aktivitet snabbare. Endast viloläge och avstängning kommer faktiskt att rensa nyckeln från minnet.
Se även
https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] och
https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]
Här finns också några intressanta verktyg som Linux-användare kan överväga för att försvara sig mot dessa:
Om sömn, viloläge och avstängning.
Om du vill ha bättre säkerhet bör du stänga av din bärbara dator helt varje gång du lämnar den obevakad eller stänger locket. Detta bör rengöra och/eller frigöra RAM-minnet och ge skydd mot cold boot-attacker. Detta kan dock vara lite obekvämt eftersom du måste starta om helt och skriva in massor av lösenord i olika appar. Starta om olika VM och andra appar. Så i stället kan du också använda viloläge i stället (stöds inte på Qubes OS). Eftersom hela disken är krypterad bör viloläge i sig inte utgöra någon stor säkerhetsrisk men kommer ändå att stänga av din bärbara dator och rensa minnet samtidigt som du bekvämt kan återuppta ditt arbete efteråt.
Vad du aldrig bör göra är att använda standardfunktionen för viloläge, som håller datorn påslagen och minnet igång. Detta är en attackvektor mot evil-maid och cold-boot-attacker som diskuterats tidigare. Detta beror på att det påslagna minnet innehåller krypteringsnycklarna till disken (krypterade eller ej) och att en skicklig motståndare kan komma åt dem.
Den här guiden kommer senare att ge vägledning om hur du aktiverar viloläge på olika värdoperativsystem (utom Qubes OS) om du inte vill stänga av varje gång.
Lokala dataläckage (spår) och kriminalteknisk undersökning.
Som nämnts kort tidigare är detta dataläckage och spår från ditt operativsystem och dina appar när du utför någon aktivitet på din dator. Dessa gäller främst krypterade filbehållare (med eller utan plausibel förnekelse) än OS-omfattande kryptering. Sådana läckor är mindre "viktiga" om hela operativsystemet är krypterat (om du inte är tvungen att avslöja lösenordet).
Låt oss till exempel säga att du har en Veracrypt-krypterad USB-nyckel med plausibel deniability aktiverad. Beroende på vilket lösenord du använder när du monterar USB-nyckeln öppnas en lockmapp eller den känsliga mappen. I dessa mappar kommer du att ha falska dokument/data i den falska mappen och känsliga dokument/data i den känsliga mappen.
I alla fall kommer du (troligen) att öppna dessa mappar med Windows Explorer, MacOS Finder eller något annat verktyg och göra vad du planerade att göra. Kanske kommer du att redigera ett dokument i den känsliga mappen. Kanske kommer du att söka efter ett dokument i mappen. Kanske kommer du att radera ett eller titta på en känslig video med VLC.
Tja, alla dessa appar och ditt operativsystem kan hålla loggar och spår av den användningen. Detta kan inkludera den fullständiga sökvägen till mappen/filerna/enheterna, tiden då de öppnades, tillfälliga cacheminnen för dessa filer, "senaste"-listorna i varje app, filindexeringssystemet som kan indexera enheten och till och med miniatyrbilder som kan genereras
Här är några exempel på sådana läckor:
Windows.
- Windows ShellBags som lagras i Windows-registret och som i tysthet lagrar olika historik över åtkomna volymer/filer/mappar.
- Windows-indexering som håller spår av filerna som finns i din användarmapp som standard.
- Senaste listor (även kallade Jump Lists) i Windows och olika appar som håller spår av nyligen öppnade dokument.
- Många fler spår i olika loggar, se den här praktiska intressanta affischen för mer insikt: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]
MacOS.
- Gatekeeper290 och XProtect håller reda på din nedladdningshistorik i en lokal databas och filattribut.
- Spotlight-indexering
- Senaste listor i olika appar som håller spår av nyligen åtkomna dokument.
- Temporära mappar som håller olika spår av appanvändning och dokumentanvändning.
- MacOS loggar
- ...
Linux.
- Indexering av spårare
- Bash-historik
- USB-loggar
- Senaste listor i olika appar som håller spår av nyligen öppnade dokument.
- Linux-loggar
- ...
Forensics kan använda alla dessa läckor (se
Lokala dataläckor och Forensics) för att bevisa att det finns dolda data och besegra dina försök att använda plausibel förnekelse och ta reda på dina olika känsliga aktiviteter.
Det är därför viktigt att vidta olika åtgärder för att förhindra att kriminaltekniker gör detta genom att förhindra och rensa dessa läckor/spår och framför allt genom att använda kryptering av hela disken, virtualisering och uppdelning i fack.
Forensics kan inte extrahera lokala dataläckage från ett operativsystem som de inte kan komma åt. Och du kommer att kunna rensa de flesta av dessa spår genom att torka enheten eller genom att säkert radera dina virtuella maskiner (vilket inte är så lätt som du tror på SSD-enheter).
Vissa rengöringstekniker kommer ändå att täckas i delen "Täck dina spår" i den här guiden i *****et.
Dataläckage online.
Oavsett om du använder enkel kryptering eller plausibel förnekbarhetskryptering. Även om du har täckt dina spår på själva datorn. Det finns fortfarande en risk för dataläckage online som kan avslöja förekomsten av dolda data.
Telemetri är din fiende. Som förklarats tidigare i den här guiden kan telemetri från operativsystem men också från appar skicka svindlande mängder privat information online.
När det gäller Windows kan dessa data t.ex. användas för att bevisa att det finns ett dolt operativsystem/volym på en dator och skulle vara lättillgängliga hos Microsoft. Därför är det oerhört viktigt att du inaktiverar och blockerar telemetri med alla medel du har till ditt förfogande. Oavsett vilket operativsystem du använder.
*****sats.
Du bör aldrig utföra känsliga aktiviteter från ett icke-krypterat system. Och även om det är krypterat bör du förmodligen aldrig utföra känsliga aktiviteter från själva värdoperativsystemet. Istället bör du använda en virtuell dator för att effektivt kunna isolera och dela upp dina aktiviteter och förhindra lokala dataläckage.
Om du har liten eller ingen kunskap om Linux eller om du vill använda OS-bred plausibel förnekbarhet, skulle jag rekommendera att du går till Windows (eller tillbaka till Tails-rutten) för enkelhets skull. Den här guiden hjälper dig att härda den så mycket som möjligt för att förhindra läckor. Den här guiden hjälper dig också att härda MacOS och Linux så mycket som möjligt för att förhindra liknande läckor.
Om du inte har något intresse för OS-bred plausibel förnekbarhet och vill lära dig att använda Linux, skulle jag starkt rekommendera att du går till Linux eller Qubes-rutten om din hårdvara tillåter det.
I samtliga fall bör värdoperativsystemet aldrig användas för att utföra känsliga aktiviteter direkt. Värdoperativsystemet kommer endast att användas för att an*****a till en offentlig Wi-Fi-åtkomstpunkt. Det kommer att lämnas oanvänt medan du utför känsliga aktiviteter och bör helst inte användas för några av dina dagliga aktiviteter.
Överväg också att läsa
https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]