Şifreli HDD% 100 güvenli mi?

28

Sanırım biraz paranoyak bir ha ... ... yine de HDD'mi truecrypt ile yazdırılabilir tüm ASCII karakterlerini kullanarak şifreledim ve şifre 64 karakter uzunluğunda. Oldukça rasgele, kesinlikle bir sözlük yok ama yine de kolayca ezberlemek mümkün.

Zorla zorlanabilir mi? Mesele şu ki, güvenli olması gerektiğini biliyorum, ancak 10 denemeden sonra birisinin şifreyi tahmin edebilme şansı yok mu?

Elbette bu olasılık var. Bazen yıldırım dedikleri gibi vurur.

windows  hard-drive  encryption  truecrypt 
paranoiaISgood
kaynak
17
64 karakter uzunluğunda, gerçekten mi? Bizi trolling mi?
uSlackr
4
Şifrenin 10 denemede tahmin edilememesi muhtemel değildir. Parola kesinlikle doğru parola girilmeden önce sadece bir kaç kez kullanılabilir. 64 karakterlik bir şifrenin amacından tam olarak emin değilim. Olası karakter sayısı, 16 karakter şifresi ve daha fazlası arasında yalnızca birkaç yüz trilyon artar. Başka bir deyişle, 15 ve 20 karakterdeki olası şifrelerin miktarı o kadar fazladır ki, şifreniz rastgele sağlandıysa hayatta kalırsınız. Beni endişelendiren, hatırlayabileceğiniz, bunun muhtemelen P @ assword gibi bir şey olduğu anlamına geliyor.
Ramhound
6
6 çocuğunuz varsa, daha kısa isimleri hatırlamak daha kolaydır.
paranoyaİstanbul
10
Bu sabit diski monte etmek istediğimde, artıları ve eksileri tartmam gerekiyordu. “Gerçekten bu verileri istiyor muyum? Şifreyi yazmaya değer mi?”
Michael Mrozek
5
Birisinin şifrenizi tek bir denemede tahmin etmesi ihtimali var.
Nick T,

Yanıtlar:

33

Kısa cevap: HAYIR!

Hata / güvenlik açığı / etc içerebileceğinden hiçbir güvenlik önlemi kendi başına güvenli değildir. Korumayı atlatmak için tek bir metoda dayanabilir (örn. Kaba kuvvetlendirme), ancak kullanamayacağı bir metot kombinasyonu olabilir.

Truecrypt (veya hala??) " Soğuk önyükleme saldırıları " na karşı savunmasızdı :

Hafızada saklanan şifreler

TrueCrypt anahtarlarını RAM'de saklar; Sıradan bir kişisel bilgisayarda DRAM, güç kesildikten sonra (veya sıcaklık düşürüldüğünde daha uzun süre) içeriğini birkaç saniye koruyacaktır. Bellek içeriğinde bir miktar bozulma olsa bile, çeşitli algoritmalar anahtarları akıllıca kurtarabilir. Soğuk önyükleme saldırısı (özellikle açılışta, askıya alınmış veya ekran kilitliyken elde edilen bir dizüstü bilgisayara uygulanır) olarak bilinen bu yöntem, TrueCrypt tarafından korunan bir dosya sistemine saldırmak için başarıyla kullanılmıştır.

" TrueCrypt Güvenlik Endişeleri " konulu ek okuma .

TFM
kaynak
5
Soğuk Önyükleme saldırıları, BIOS'ta bellek testini etkinleştirmek (açılışta RAM'i temizleyecektir) ve birinin DIMM'leri PC'nizden çıkarmasını önleyerek (birinin DIMM'leri çekmesini ve içeriği kopyalamasını önleyerek) azaltılabilir. Ayrıca, birinin bellek testini devre dışı bırakmasını engellemek için CMOS pilinizi ve CMOS'unuzu temizleyin.
myron-semack
1
TrueCrypt 7, TrueCrypt çıktıktan veya cihazların otomatik olarak çıkarılmasından sonra önbellekleri sürücü belleğinden siler. Bunu "True Crypt - Preferences" -Dialog
DiableNoir
18

Http://howsecureismypassword.net/ 'e göre , normal bir masaüstü bilgisayarın şifrenizi kırması yaklaşık 314 trigintilyon yıl alacaktır . Bu , Evrenin varlığında kalan süreden daha büyük birkaç büyüklük emridir . Bence kaba kuvvet cephesinde gizlisin.

Sadece eğlence için:

1 trigintillion = 1,000,000,000,000,000,000,000,000,000,000,
                  000,000,000,000,000,000,000,000,000,000,000
                  000,000,000,000,000,000,000,000,000,000
Chad Levy
kaynak
14

İşte, günlük olarak sabit disk şifrelemesi ile uğraşıyoruz. Gerçek şu ki, sürücünüzde bulunan şifreleme türü ev kullanıcıları için muhtemelen çok yeterli. Tüm verilerimle paranoyak olma duygusuna sahibim ve truecrypt beni tatmin ediyor.

Ancak, sabit sürücüler için gerçek şifrelemenin donanım düzeyinde olması gerekir. Ağ üzerinde Stonewood disklerini (Flagstones) arar. Kilitlenmeden önce maksimum 5 denemeyle tam donanım şifrelemesi sunar, daha sonra sürücüyü devlet standartlarına göre tamamen tahrip etmeden önce 5 tane daha sunar.

n0pe
kaynak
10

"Brute-zorla olabilir mi" cevabı :

Yazdırılabilir 95 ASCII karakteri (boşluk dahil) vardır, bu nedenle 95 64 olası 64 karakter şifresi vardır. 420 bitlik güvenlikten fazla 3.75 x 10 126 . Buna karşılık, 128-bit bir AES anahtarı için kaba zorlamadan güvenli kabul edilir ve 265 bit, görünür evrendeki her atom için farklı bir değer atamak için yeterlidir.

Düşmanınızın her biri saniyede 1 milyar şifreyi kontrol edebilen 10 milyar bilgisayarlık (bilinen en büyük botnetten 1000x daha büyük) bir botnet olduğunu varsayarsak, şifrenizi kaba kuvvetle bulmanız için beklenen süre 5.87 x 10 51 yıl olacaktır - bu 45 trilyon trilyon trilyon kere evrenin yaşıdır.

Yani evet, şifreniz kesinlikle zorlayıcı işlemlerden korunuyor. Aslında, AES-256 kullandığınızı varsayarsak, 64 karakterli şifreniz size 39 karakterli bir şifre için ekstra bir güvenlik sağlamaz, çünkü bu noktadan sonra anahtarı sadece kaba bir şekilde zorlamanız daha hızlı olacaktır.

BlueRaja - Danny Pflughoeft
kaynak
4
Msgstr "TrueCrypt, 256 bit anahtarla AES kullanıyor". Bu nedenle 39'dan fazla karakter kullanmak hiçbir şeyi değiştirmez.
Max Ried
Bu olduğu sürece doğru olsa da, böyle hesaplamalar saldırının başarılı olması için tüm parola olanaklarının denenmesi gerektiğini varsayar. Yani, son şifre olasılığının sadece denedikleri son değil, doğru olanı olacağını varsayıyorsunuz. Bunlardan ilki, onbeşinci ya da ellili olduğu kadar kolay olabilir. Tüm şifreleri rastgele sırayla deniyorlar. Ve rastgele erken başarı sağlar, başarı olmaz. Paranoyaya girdiğimizden beri.
zenbike
@zenbike: Evet, hesaplarımda dikkate alınıyor; beklenen (birçok denemelerle ortalama) süresi (bakınız arama alanı kare köküdür burada ) - olduğundan, 5.87 x 10 ^ 51 yıl sonra, bulunamadı sahip% 50 şans var. Yaklaştıkça şans hızla düşüyor; örneğin, şifreyi 5.87 x 10 ^ 46 yıl içinde bulma şansı yaklaşık% 0.000001'dir - yaşamlarımızda şifreyi bulma şansı, kuantum etkilerinden dolayı rastgele bir duvardan geçen bir kişinin girme şansı ile aynı olacaktır. .
BlueRaja - Danny Pflughoeft
@BlueRaja: Ve yine de, şans kadar küçük, var ve şifrelemeyi kullanılabilir bir zaman diliminde kırma olasılığı da var.
zenbike
@zenbike: Neyse ki, bazı şeylerin imkansız olduğu düşünülen gerçek dünyada yaşıyoruz, tüm amaç ve amaçlar için imkansız. Bu şanslıdır, çünkü bu, örneğin vücudumdaki her atomun aynı anda mıknatıslanması ve demiri kanımdan sökmesi; ya da her bağın aniden kırılması için beni gaza dönüştürün. Geri gerçek dünyada, SHA-1, sadece 80 güvenlik bit çarpışmalara karşı (daha az şifrenin daha büyüklükte birçok emir) sahiptir, ancak etkin şekilde arama süper rağmen, hiç kimse gelmiştir şimdiye iki şifreleri bulduğu aynı SHA-1 hash .
BlueRaja - Danny Pflughoeft 27:11
6

Eğer şifreniz yeterince rasgele ise, BlueRaja ayrıntılı olarak, kaba kuvvet saldırısından oldukça eminiz.

Bununla birlikte, sizin için mümkün olabilecek marjinal olarak daha güçlü ve kesinlikle daha az acı verici bir yaklaşım var ("olabilir" diyorum çünkü TrueCrypt ile yeterince aşina değilim; bu yaklaşımı LUKS / AES-256 sürücü ile kullanıyorum). Bunun yerine sürücünün kilidini özel bir anahtarla açın . Bu anahtarı bir USB sürücüsünde saklayın. Bu anahtarı bir parola ile kilitleyin (aşırı derecede karmaşık olmak zorunda değildir) ve siz iki faktörlü Nirvana'dasınız.

İçin gerçekten paranoyak , soğuk önyükleme saldırı dışındaki saldırı vektörleri vardır:

  1. Kalıcı, önyükleme sektörü saldırısı . Örneğin:

    Makinenize fiziksel erişimi olan kötü bir adam, TrueCrypt açılış yükleyicisini kötü amaçlı olanla değiştirebilir. Şifrelenmiş sürücünüzün kilidini açmanıza ve erişmenize olanak tanıyan TrueCrypt gibi yeterince görünür ve davranır, ancak daha sonra kötü adam tarafından alınabilmesi için parolanızı saklar. Aslında bunu test etmedim, ancak bu nitelikte bir aracın gerçekten var olduğunu okudum:

    http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf

    (Yine, TrueCrypt bunu destekliyor mu bilmiyorum ama ...) Bunun için iyi bir çözüm, önyükleme sektörünü ve şifrelenmemiş önyükleyiciyi bir USB sürücüsüne yerleştirmektir. Muhtemelen bunu kişide tutuyorsun. (Daha fazla güvenlik için donanım şifrelemeli bir USB sürücüsü kullanın).

  2. Parolanızı girdiğiniz bir anahtar kaydedici veya video kaydı. USB sürücü tabanlı bir anahtar kullanmak sizi bundan koruyacaktır (bir saldırgan makinenizin USB / veri yolunu / hafızasını izlemek için donanımınızı değiştirene kadar. Sanırım bu olası değildir ...)

Güzel şifreleme saldırısı vektör referansı: http://tldp.org/HOWTO/html_single/Disk-Encryption-HOWTO/#ThreatModel

JohnNKing
kaynak
2

Doğru soru, hangi riski azaltmaya çalışıyorsunuzdur ve HD şifrelemesi kabul edilebilir bir seviyeye düşürmek için yeterlidir. Dünyayı ele geçirmeyi planlayan süper gizli plan planlarını saklıyorsanız, kişisel finansal verilerinizi (veya pr0n stash) koruduğunuzdan daha fazla veya daha az güvenliğe ihtiyacınız olabilir.

İnsanlar bir faaliyetle ilgili gerçek risk seviyesini değerlendirmede korkunçtur. Muhtemelen, birileri dizüstü bilgisayarınızı çaldığında, veriyi almaktan daha çok onu kullanmakla ilgilenirler (bu süper gizli planlarınız yoksa ...)

uSlackr
kaynak
0

Her şey kırılabilir / saldırıya uğrayabilir / atlanabilir / ...
Herkes bunu yapamaz (çoğu insan yapamaz), ama orada her zaman ortalama bilgisayar kullanıcısından biraz daha fazlasını yapan insanlar vardır.

RobinJ
kaynak
0

Bilgisayarınızdaki kilidi açılmış sürücüye erişen veya "uçuş sırasında" açık metin verilerini alan bir virüs nedeniyle çok daha fazla risk altındasınız.

Daniel R Hicks
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.