Tor Browser, Kleopatra - veractypt - temporary files säkerhet

Jag undrar av säkerhetsskäl vilka spår som ev lämnas i datorns minne eller temp files när Tor Browser stängs av

Vad jag har förstått används redan nån sorts sandboxtänk på tor browser. Besökta sidor eller inloggningar skall inte finnas kvar i systemet när man stänger av browsern. Är det nåt som man ändå kan rota sig till?
Gör sandboxie till eller från då det gäller den punkten?

Säkerheten handlar främst om att jag inte vill lämna spår som kan styrka bevisning t ex vid köp av knark via dark web. T e x att man besöker flugsvamp eller flugforum. Tor skall ju göra att telia inte ska kunna se vilka sidor som besöks. Sen används ju pgp vid privatmeddelanden och resten av säkerheten kan jag inte kontrollera - förutom vad som finns på min hemdator.

Om man inte krypterar hela sin dator utan en veracryptvolym och kör tor browser därifrån, lämnar då detta spår i systemet lokalt av att man använt tor browser eller vilka sidor som besökts? Finns det nåt portable variant av kleopatra för pgp-cert där alla programdata sparas i valbar mapp på den krypterade volymen?

Beror väl på? Kör du Windows? Ett ospårbart SIM-kort lämnar inte spår efter sig, men ringer du från en kapad mobil så spelar det ingen roll.

Släng hårddisken och kör TAILS i fortsättningen. Då lagras allt i RAM.

Jag vill ha svar av någon som kan svara på mina frågeställningar.

Jag som köpare har inte så mycket av intresse på min (Windows10)dator mer än sånt som kan "styrka" misstankar om köp. Jag haralltså inte massa hemliga dokument eller textfiler.

Det jag har , på datorn, som kan styrka sånt är om jag med webläsaren Tor Browser besökt Flugsvamp eller Flugforum, vilka inloggningsuppgifter jag har.
Jag kan också tänka mig att pgp-programvara typ Kleopatra med importerade certifikat kan styrka misstankar.

Därför undrar jag om huruvida Tor Browser eller Kleopatra sparad på en krypterad volym gör att programmen vid användning sparar information i minnet eller på hårdddisken utanför den krypterade volymen även när programmen stängts av.
Jag är också nyfiken på om användning av sandboxie gör till eller från vid användning av dessa program.

Kör tails som alla andra via en usb sticka.

Undrar samma sak som TS intressant frågeställning

Tails lämnar inga bevis kvar på datorn nej. Dock om du är foliehatt framgår ändå att du har Tails tillgängligt eftersom du har det på en USB hemma.

Läste en FUP där forensikerna återställt fragment av besökta webbsidor från systemets swap-fil. Kör du windows så är default att swapfilen ligger på systempartitionen och inte raderas när man stänger av datorn. En webbläsare som TOR kan inte radera sina egna sidor från swapfilen eftersom den virtuella minneshanteringen är konstruerad för att vara transparent för program som kör på datorn.

Ett annan potentiell läcka är att blocken från borttagna temporära filer ligger kvar läsbara på disken tills de återanvänds eller systemet gör trim/discard i fallet av en ssd, det senare brukar dock vara en schemalagd aktivitet som inte kör så ofta.

I princip måste du köra fulldiskkryptering för att vara säker på att webbläsaren inte lämnar några spår. Åtminstone om du inte är expert på hur du konfigurerar datorn för att inte spara mer än vad du vill.

Men om du kör Tor Browser i ett program genom sandboxie från en krypterad volym - och sedan automatiskt raderar sandboxen ? Det lämnar väl inga spår i swap-filen av vilka sidor man besökt i webläsaren Tor Browser? Eller om man kör Tor browser enbart i en live -distro i säg VM Ware-player?

Anledningen att jag frågar är att Tails av någon anledning inte fungerar med min dators touchpad och jag har ingen extern mus. Detsamma gäller andra live-säkerhetsdistros (de funkar dock på min gamla dator)

Det bästa är nog att lägga krutet på att se till att få Tails att funka (annars behöver du uppfinna säkerhetshjulet själv. Och underhålla det över tid -> Mer jobb och mindre bang for the buck).

Googla Whonix så ska du finna det du söker.

Varken sandlådor eller virtualisering hjälper mot läckor på hårdvarunivå. Det du ser på skärmen finns även i datorns minne medan det visas. Allt som finns i RAM-minne kan hamna i swap-filen av ren slump, beroende på hur Windows väljer att fördela minnet mellan körande processer. Allt du ser på skärmen hamnar inte i swap-filen, men vanligtvis hamnar enskilda fragment där. Vill polisen veta om du varit på https://evil.com så söker de igenom hela hårddiskens fysiska block och får med hygglig sannolikhet någon träff, åtminstone om du varit där flera gånger på senare tid.

Man kan alltid gå runt sådant här genom krypterad swap osv, men vet man inte exakt vad man skall göra så är det enklare att kryptera hela disken.

Bootar du en live-distro direkt från USB som använder normalt inte Linux en swap-fil från ett okänt operativsystem, vilket gör det osannolikt att några spår hamnar på hårddisken, men det är inte samma sak som att köra en virtuell maskin i Windows. I det senare fallet används swap-filen i Windows.

Då kanske det är räcker en bit att köra dual boot med linux på en separat volym och kryptera linuxpartitionen.

Vi pratar som sagt inte huvudmisstänkt som försäljare i en stor narkotikaorganisation eller misstänkt för mord utan någon som är ev kan bli misstänkt för att köpa droger för eget bruk. Utifrån det då kan man väl dra slutsatser hur ingen enorm insats kommer läggas på att gräva fram fragment av bevis på ett alltför tillkrånglat vis.