TrueCrypt unterstützt "Plausible Deniability", das bedeutet, dass man für einen Container zwei Passwörter festlegen kann, das echte Passwort und eines speziell für Situationen wie diese. Beide Passwörter "öffnen" den Container und beide mal wird der vermeintliche Inhalt angezeigt; allerdings je nachdem welches Passwort genutzt wird, wird ein anderer Inhalt angezeigt. Es ist unmöglich zu beweisen, dass ich nicht das echte Passwort eingegeben habe und der angezeigte Inhalt nicht der echte Inhalt ist. Natürlich sollte man den "falschen" Inhalt so gestalten, dass er echt aussieht, damit die ganze Sache glaubhaft ist.

Beispiel: Ich möchte 10 GB geheime Daten speichern. Ich erzeuge einen Container mit einer Größe von 30 GB, dem Passwort A und packe zuerst einmal 5 GB Urlaubsvideos hinein. Dann sage ich TrueCrypt, ich möchte einen versteckten Container im bereits existierenden Container erzeugen, mit dem Passwort B und packe dort dann meine 10 GB geheimen Daten hinein.

Wenn ich jetzt den Container mit Passwort B öffne, dann zeigt es mir nur meine 10 GB geheimen Daten an, sowie einen freien Speicherplatz von 15 weiteren GB. Diese 15 GB kann ich problemlos in der Zukunft noch mit Daten füllen, ohne dass dabei irgendwelche Daten beschädigt werden oder verloren gehen. Das ist mein eigentlicher Verschlüsselter Speicherplatz.

Wenn mich hingegen ein Gericht zwingt mein Passwort einzugeben, dann gebe ich mein Passwort A ein. Jetzt wird ein Container mit 5 GB Urlaubsvideos und 25 GB(!) freien Speicherplatz angezeigt. Vorsicht: Wenn ich neue Daten in diesen Container kopiere, dann gehen mir allerdings irgendwann mal die Daten des versteckten internen Container kaputt, denn in diesen Modus weiß TrueCrypt selber nicht einmal was von der Existenz des geheimen internen Containers. D.h. normalerweise würde ich nie wieder Passwort A eingeben, nachdem ich meinen versteckten Container erzeugt habe. In einer Notsituation wie dieser, muss ich aber damit leben, dass meine "geheimen" Daten sowieso unwiederbringlich verloren gehen. Besser so, als dass ich in Beugehaft genommen werde oder, noch schlimmer, aufgrund der geheimen Daten im versteckten Container zu einer Haftstrafe verurteilt werde.

Die Existenz eines versteckten internen Containers kann man mir hingegen nicht nachweisen, denn eine TrueCrypt Datei mit und eine ohne einen solchen geheimen Container sind in keiner Weiser voneinander unterscheidbar. Solange ich nicht Passwort B eingebe weiß nicht einmal TrueCrypt selber von dessen Existenz. Und da das erstellen eines geheimen Containers optional ist, kann auch niemand davon ausgehen, dass ein solcher überhaupt existiert. Vielleicht habe ich wirklich nur meine Urlaubsvideos verschlüsseln wollen. Wie soll man mir das Gegenteil beweisen? Ich bin eben ein paranoider Mensch, der Angst hat unberechtigte könnten meine Strandbilder im Internet verbreiten.

Der Bereich, in dem der Header des geheimen Containers liegt, existiert auch in TrueCrypt Containern ohne einen solchen geheimen Container und ist dort mit zufälligen Daten gefüllt, die sich wiederum nicht von verschlüsselten Daten unterscheiden lassen. Vielleicht ist dort ein zweiter Container Header oder aber es sind wirklich nur zufällige Daten. Ohne Passwort B zu kennen oder zu erraten lässt sich das nicht bestimmen. Genauso wie es unmöglich ist zu bestimmen, ob e sich bei den 25 GB freien Speicherplatz im Container um zufällige Daten handelt oder ob sich dort die Daten eines zweiten, geheimen Containers befinden, denn der freie Speicherplatz eines jeden TrueCrypt Containers wird initial mit zufälligen Daten gefüllt.