Datenwiederherstellung zeigt bei verschlüsselter Festplatte komische Ergebnisse

[balderthor]

Hallo,

ich habe eine neue externe SSD mit Veracrypt verschlüsselt und danach meine Daten draufgezogen und wieder gelöscht. Aus Neugier habe ich dann mal mit EaseUS Data Recovery Wizard und Recuva probiert gelöschte Daten wiederherzustellen.

Das Ergebnis waren wirre und komische Dateien die nie auf der Festplatte waren, sind das alles Fehler oder ein Versuch von der Veracrypt-Verschlüsselung etwas vorzutäuschen?

 

[chr1zZo]

MRW Dateien war wohl zu schwer danach zu Googeln?

Entwickler Minolta
Kategorie Camera Raw-Dateien
Datei Formatieren Binary

Wenn man damit nix anfangen kann, dann ist es doch gut. Ist ja Sinn einer Verschlüsselung oder? ^^

 

[madmax2010]

zeig dochmal die header der dateien
Keine ahnung was easesus da anstellt, aber vermutlich findet es irgendwo etwas, was wie ein header vonMinolta Raw Dateien aussieht.

Wenn die dateien valide sind, hast du vermutlich mal so dateien darauf gehabt und sie wurden noch nicht (komplett) ueberschrieben

 

[balderthor]

zeig dochmal die header der dateien
Keine ahnung was easesus da anstellt, aber vermutlich findet es irgendwo etwas, was wie ein header vonMinolta Raw Dateien aussieht.

Wenn die dateien valide sind, hast du vermutlich mal so dateien darauf gehabt und sie wurden noch nicht (komplett) ueberschrieben

Kann aber nicht sein? Die SSD war neu aus der Verpackung von Kingston, danach habe ich sie direkt verschlüsselt mit Veracrypt. Dann Daten draufgepackt, dann gelöscht und dann wollte ich mal schauen ob die Dateien sich wiederherstellen lassen.

MRW Dateien war wohl zu schwer danach zu Googeln?

Entwickler Minolta
Kategorie Camera Raw-Dateien
Datei Formatieren Binary

Wenn man damit nix anfangen kann, dann ist es doch gut. Ist ja Sinn einer Verschlüsselung oder? ^^

Und du scheinst eine neue Brille zu brauchen? Googeln kann ich selber. Es wurden auch .doc Dokumente mit 1gb gefunden und MRW Dateien waren nie da drauf und hatte ich auch nie, auch keine .doc Dokumente die so groß sind.

Ja klar ist das gut, meine Frage ist halt nur ob das üblich ist bei Veracrypt oder nicht.

 

[Ranayna]

Im worst case hat die Software einfach nur in den verschluesselten Daten nach Headersignaturen gesucht.

Hier mal beispielsweise die Dateiheader der aelteren MS Office Dateien:
https://sceweb.sce.uhcl.edu/abeysekera/itec3831/labs/FILE SIGNATURES TABLE.pdf

Taucht dann irgendwo in dem "Datenmuell" (verschluesselte Daten sind ohne Schluessel idealerweise genau das), die passende Zeichenfolge am Anfang eines Sektors auf, wird das als moeglicher Kandidat markiert das da was sein koennte.
Ist in dem Dateiformat dann auch die Dateigroesse ersichtlich, zb nach X Bytes nach dem Header steht die Dateigroesse, kann die Software daran die Groesse der Datei "erraten", was dann oft zu absurden Resultaten fuehren kann. Oder ein anderer Header, oder ein anderes "Trennelement" wurde gefunden.
Das die Dateinamen fehlen passt auch dazu, denn die stehen in der MFT und liegen nicht im eigendlichen Dateisystem.

Ich kann mir nicht vorstellen, das Veracrypt aktiv etwas "vorspielt", denn das wuerde mit einem Grundlegenden Konzept von Verschluesselung brechen. Versucht man bei Verschluesselung bestimmte Daten zu erreichen, und seien es "gefaelsche Header", dann schwaecht das in aller Regel die Verschluesselung.

 

[nutrix]

Kann aber nicht sein? Die SSD war neu aus der Verpackung von Kingston, danach habe ich sie direkt verschlüsselt mit Veracrypt. Dann Daten draufgepackt, dann gelöscht und dann wollte ich mal schauen ob die Dateien sich wiederherstellen lassen.

Bei SSDs wird normalerweise TRIM eingesetzt, eine Datenwiederherstellung ist hier so gut wie zwecklos.

 

[eweu]

Das ist einfach eine ungenaue Heuristik vom Recovery Programm, die einzigen Daten, die in einem VeraCrypt Volume nicht verschlüsselt sind, sind die ersten 64 Bytes für den Salt. Weder EaseUS Data Recovery Wizard noch Recuva können auf magische Weise deine Daten ohne den Key entschlüsseln.

 

[IlluminatusUnus]

Wow ... ich sag nur wow.
Sehr unterhaltsame Ideen soweit ... ich stelle folgendes zur Diskussion: Könnte es Zufall sein? Und wenn ja, woher kommt der?

 

[BFF]

Dann Daten draufgepackt, dann gelöscht und dann wollte ich mal schauen ob die Dateien sich wiederherstellen lassen.

Wenn Du genau so vor gegangen bist, war der Datenträger eingehängt und damit durchsuchbar. Da versteckt Veracrypt nix.

Was Du oder die Programme fanden sind spärliche Headerfragmente.

 

[Ranayna]

Könnte es Zufall sein? Und wenn ja, woher kommt der?

Gute Verschluesselung hat das Ziel, das der verschluesselte Text wie Zufall aussieht.

Ich bin mir bei Veracrypt nicht sicher, aber andere Festplattenverschluesselung arbeitet nach dem Prinzip:
Die Daten werden nicht mit deinem Passwort als Schluessel verschluesselt. Dein Passwort entschluesselt nur den eigendlichen, zufaellig erzeugten echten Schluessel, mit dem dann die Daten verschluesselt sind.

Moderne CPUs haben inzwischen auch entsprechende cryptographisch sichere Zufallsgeneratoren, die mit Hilfe diverser Effekte (Weisses Rauschen, Quanteneffekte) echten Zufall erzeugen koennen.

Echter Zufall hat aber halt die Eigenschaft, dass da auch mal zufaellig was "sinnvolles" drinstehen kann. Dateiheader sind nicht lang, da ueberrascht es mich nicht, dass eine reine Suche nach solchen auch in Zufallsdaten mal was findet, wenn man mal ueberlegt wieviele Bytes so auf einer typischen Festplatte rumschwirren.

 

[Marco01_809]

Könnte es Zufall sein? Und wenn ja, woher kommt der?

Die Sicherheitsanforderung an moderne Block-Verschlüsselungen ist dass der Ciphertext ununterscheidbar sein muss von Zufallsdaten; wenn er das nicht ist, ist die Verschlüsselung per Definition kaputt. Zum Nachlesen: https://en.wikipedia.org/wiki/Ciphertext_indistinguishability#Indistinguishable_from_random_noise und https://en.wikipedia.org/wiki/Distinguishing_attack

TrueCrypt/VeraCrypt gehen (anders als BitLocker und LUKS z.B.) noch einen Schritt weiter und hinterlassen auch keinen Header auf der Festplatte aus dem hervorgeht dass die Platte mit VeraCrypt verschlüsselt ist. Das hat den Vorteil dass man später behaupten kann dass da gar keine Daten drauf sind sondern die Platte mit Zufalldaten überschrieben wurde. Nur mit Kenntnis des Passworts lässt sich erkennen dass da sinnvolle Daten drauf gespeichert sind. BitLocker und LUKS hingegen haben vor den verschlüsselten Daten einen eindeutig erkennbaren Header der zeigt dass die Platte verschlüsselt ist.

Auch Datenwiederherstellungstools können also nicht erkennen dass es sich um eine verschlüsselte Platte handelt und suchen daher in dem Zufallsbrei nach sinnvollen Daten. Das gleiche Ergebnis würde man auch kriegen wenn man eine Platte mit Zufallsdaten überschreibt und darauf Datenwiederherstellung macht.

 

[MoonTower]

Zunächst dachte ich, die "neue" SSD war eben nicht "neu"!
Schau doch mal, wieviel Betriebsstunden sie hat und wieviel Start/Stopp-Zyklen.
Veracrypt bietet bei Volumeverschlüsselung ja 2 Optionen an: langsam und schnell. Heißt ja ausdrücklich, dass man "schnell" nur bei einer wirklich leeren / neuen Platte machen soll.
Was auch sein könnte:
Dieses Recover-Programm nutzt Du doch in der Testversion, oder?
Das möchte Dich evtl. nur zum Kauf animieren um dann zu sagen: Sorry, diese von mir gefundenen Daten sind doch nicht wiederherstellbar ... also Fake-Anzeige; bös gesagt.

Edit
Sehe gerade, dass Du auch Recuva genutzt hast.
Werden denn bei Recuva ähnliche Daten gefunden?

 

[foofoobar]

Das Ergebnis waren wirre und komische Dateien die nie auf der Festplatte waren, sind das alles Fehler oder ein Versuch von der Veracrypt-Verschlüsselung etwas vorzutäuschen?

Seit wann sind Datenwiederstellungstools deterministisch?

 

[balderthor]

Zunächst dachte ich, die "neue" SSD war eben nicht "neu"!
Schau doch mal, wieviel Betriebsstunden sie hat und wieviel Start/Stopp-Zyklen.
Veracrypt bietet bei Volumeverschlüsselung ja 2 Optionen an: langsam und schnell. Heißt ja ausdrücklich, dass man "schnell" nur bei einer wirklich leeren / neuen Platte machen soll.
Was auch sein könnte:
Dieses Recover-Programm nutzt Du doch in der Testversion, oder?
Das möchte Dich evtl. nur zum Kauf animieren um dann zu sagen: Sorry, diese von mir gefundenen Daten sind doch nicht wiederherstellbar ... also Fake-Anzeige; bös gesagt.

Edit
Sehe gerade, dass Du auch Recuva genutzt hast.
Werden denn bei Recuva ähnliche Daten gefunden?

Verstehe, also vermutlich Fake-Dateien.

Recuva will erst gar nicht suchen weil die SSD als nicht formatiert erkannt wird.

Ergänzung (5. September 2023)

Wenn Du genau so vor gegangen bist, war der Datenträger eingehängt und damit durchsuchbar. Da versteckt Veracrypt nix.

Was Du oder die Programme fanden sind spärliche Headerfragmente.

Mir ging es darum:

Ich wollte wissen was passiert wenn ich meine externe SSD verschlüssle mit Veracrypt. Daten draufpacke, sie mit Veracrypt mounte und die Daten normal lösche. Die Festplatte dann wieder entmounte also wieder verschlüsselt ist und dann mit Datenwiederherstellungstools schauen ob ich etwas wiederherstellen kann. Hätte ja sein können das wenn man sie mounted und man löscht die Daten, sie spuren hinterlassen, also das die gelöschten Daten nicht verschlüsselt werden/verschlüsselt sind weil in dem moment wo ich die Daten gelöscht habe die Verschlüsselung ja entsperrt war.

 

[Ranayna]

Verstehe, also vermutlich Fake-Dateien.

Ich wuerde es eher als false positives bezeichnen. "Fake" impliziert immer irgenwie eine Absicht, und die ist in diesem Fall nicht vorhanden.

 

[madmax2010]

Recuva will erst gar nicht suchen weil die SSD als nicht formatiert erkannt wird.

Wenn du schon X Datenrettungstools probierst, nimm mal Testdisk. Das tut von allen noch immer am zuverlässigsten und ihm Sind dateisysteme herzlich egal.

Verstehe, also vermutlich Fake-Dateien.

Die daten sind schon echt, sonst wuerden sie nicht da sein. Aber ob das nun Noise oder Verschluesslte daten sind kann dir so keiner sagen

Die Festplatte dann wieder entmounte also wieder verschlüsselt ist und dann mit Datenwiederherstellungstools schauen ob ich etwas wiederherstellen kann.

Bei full disk encryption, kann man wenn alles "optimal" ist nicht einmal zwischen Daten und Rauschen unterscheiden

 

[BFF]

Hätte ja sein können das wenn man sie mounted und man löscht die Daten, sie spuren hinterlassen, also das die gelöschten Daten nicht verschlüsselt werden/verschlüsselt sind weil in dem moment wo ich die Daten gelöscht habe die Verschlüsselung ja entsperrt war.

Wenn der Datenträger (mit Veracrypt) gemounted ist und man löscht Daten hinterlassen die Spuren auf dem gemounteten Datenträger. Jedes Tool kann die wiederherstellen wenn nicht TRIM oder ähnliche Mechanismen tätig wurden solange der Datenträger gemounted ist oder wieder gemounted wird.

Wird der Datenträger ausgehängt sind die gelöschten Daten immer verschlüsselt weil halt der gesamte Datenträger verschlüsselt ist. Gilt auch für den Papierkorb des verschlüsselten Datenträgers falls einer existiert.

 

[Marco01_809]

Man muss sich auch klar machen was es heißt wenn man eine Festplatte mit Passwort entsperrt. In dem Moment wird nichts entschlüsselt. Erstmal wird nur die verschlüsselte Platte als Datenträger in Windows gelistet.

VeraCrypt setzt sich als "Filter" zwischen Windows und die Hardware. Bei jedem Lesezugriff liest VeraCrypt die verschlüsselten Daten von der Platte in den Arbeitsspeicher, entschlüsselt sie und gibt sie an Windows bzw. Anwendungen weiter. Bei einem Schreibzugriff verschlüsselt VeraCrypt die Daten im Arbeitsspeicher und schreibt sie anschließend auf die Platte.
Auf der Platte befinden sich niemals Daten im Klartext.

Der Papierkorb funktioniert so dass Windows die Dateien erstmal in einen versteckten Ordner auf dem gleichen Datenträger verschiebt. Für VeraCrypt sind das genauso einfache Lese/Schreibzugriffe die gleich behandelt werden.

Leert man den Papierkorb werden die Dateieinträge einfach nur aus dem Ordner gelöscht und der Platz wird zum Überschreiben mit neuen Dateien freigegeben. Hier gibt es jetzt eine Besonderheit: Das Betriebssystem sendet einen TRIM-Befehl (wenn der Datenträger das unterstützt, z.B. alle SSDs) an den Datenträger damit der weiß dass die Daten in diesem Sektor verworfen werden können - das hat u.U. Performance-Vorteile.
Dadurch sind auf der verschlüsselten Platte jetzt aber "Löcher" in denen nur 0en stehen und keine (scheinbaren) Zufallsdaten mehr. Das hat den Nachteil das man a) nicht mehr behaupten kann, dass die Platte nur mit Zufallsdaten überschrieben wurde und b) lassen sich Position und Größe der "Löcher" analysieren um Rückschlüsse auf den Inhalt zu ziehen.

Möchte man diese Nachteile nicht in Kauf nehmen muss man einen Datenträger nehmen der kein TRIM kann (keine SSDs, Festplatten ohne SMR):
https://veracrypt.eu/en/Trim Operation.html

 

[recu]

Wow ... ich sag nur wow.
Sehr unterhaltsame Ideen soweit ... ich stelle folgendes zur Diskussion: Könnte es Zufall sein? Und wenn ja, woher kommt der?

Nein, kein Zufall.

In dem Moment wo das Betriebssystem die Daten löscht und einen Trim-Befehl and die Festplatte schickt, erhält der Veracrypt-Treiber beim nächsten Lesezugriff der entsprechenden Sektoren mutmaßlich nur Nullen. Der Der Veracrypt-Treiber entschlüsselt diese Nullen und reicht die entschlüsselten Nullen an das Betriebssystem weiter. Da kommt natürlich nur Müll heraus.
Ohne Trim-Befehl wäre der auf der Festplatte gespeicherte verschlüsselte sogenannte Klartext, bzw. die "Klardaten" wieder entschlüsselt worden. So erhält das Betriebssystem nicht den entschlüsselten Klartext, sondern einen entschlüsselten Nullblock.

Man könnte das Experiment unter einem Windows XP SP3 32-bit (bitte 2 TB-Grenze bei Partitionieren von SSDs mit 512-Byte-Sektoren beachte!) ohne installierte Zusatzsoftware des SSD-Herstellers probieren. Da sollte die Datenwiederherstellung klappen, wenn nach dem Löschen kein anderer Schreibvorgang auf der SSD stattfindet.

 

[Ranayna]

Die daten sind schon echt, sonst wuerden sie nicht da sein. Aber ob das nun Noise oder Verschluesslte daten sind kann dir so keiner sagen

Wenn der TE so vorgegangen ist wie er gesagt hat, also die ungemountete Platte gescannt hat, dann waere es ein massiver Bug in Veracrypt, wenn da irgendwas echtes gefunden worden waere.
Klar, solange die Platte gemounted und entschluesselt ist, verhaelt sie sich wie jede andere, also koennen Tools dann Ueberreste oder ganze geloesche Dateien wiederherstellen.

Dadurch sind auf der verschlüsselten Platte jetzt aber "Löcher" in denen nur 0en stehen und keine (scheinbaren) Zufallsdaten mehr.

Kann Veracrypt tatsaechlich nicht den ungenutzen Platz verschluesseln?