Chyba jestem trochę paranoikiem ... w każdym razie zaszyfrowałem mój dysk twardy za pomocą truecrypt, używając wszystkich drukowalnych znaków ASCII, a hasło ma 64 znaki. Jest dość losowy, z pewnością nie ma słów słownikowych, ale nadal można łatwo zapamiętać.
Czy można to brutalnie wymusić? Chodzi o to, że wiem, że powinno być bezpieczne, ale czy nie ma szansy, że ktoś odgadnie hasło po 10 próbach?
Z pewnością taka możliwość istnieje. Czasami piorun uderza, jak mówią.
windows
hard-drive
encryption
truecrypt
paranoja
źródło
źródło
Odpowiedzi:
Krótka odpowiedź brzmi: NIE!
Żadne środki bezpieczeństwa nie są same w sobie bezpieczne, ponieważ mogą zawierać błędy / słabe punkty / itp. Może wytrzymać pojedynczą metodę (np. Brutalne wymuszanie) w celu obejścia ochrony, ale może istnieć kombinacja metod, z którymi może nie być w stanie sobie poradzić.
Truecrypt był (lub nadal jest?) Podatny na ataki „ zimnego rozruchu ”:
Dodatkowa lektura na temat problemów związanych z bezpieczeństwem TrueCrypt .
źródło
Jeśli masz wszystkie znaki ASCII, szczerze mówiąc, jest to nadal możliwe - ale bardzo mało prawdopodobne.
źródło
Według http://howsecureismypassword.net/ złamanie hasła zajęłoby około 314 tryintillionów lat . To kilka rzędów wielkości więcej niż czas pozostały do istnienia Wszechświata . Myślę, że jesteś chroniony przed brutalną siłą.
Dla żartu:
źródło
W pracy codziennie zajmujemy się szyfrowaniem dysku twardego. Prawda jest taka, że rodzaj szyfrowania na dysku jest prawdopodobnie wystarczający dla użytkownika domowego. Mam takie samo poczucie bycia paranoikiem wobec wszystkich moich danych, a truecrypt mnie satysfakcjonuje.
Jednak prawdziwe szyfrowanie dysków twardych musi odbywać się na poziomie sprzętowym. Wyszukuje dyski Stonewood (płyty chodnikowe) w sieci. Oferują pełne szyfrowanie sprzętowe przy maksymalnie 5 próbach przed zablokowaniem, a następnie 5 kolejnych, zanim całkowicie zniszczą dysk zgodnie ze standardami rządowymi.
źródło
W odpowiedzi na „Czy to brutalna siła” :
Istnieje 95 znaków ASCII do wydruku (w tym spacja), więc istnieje 95 64 możliwych haseł o długości 64 znaków. To 3,75 x 10 126 , czyli ponad 420 bitów bezpieczeństwa. Dla porównania, 128 bitów jest uważane za bezpieczne przed brutalnym wymuszaniem klucza AES, a 265 bitów wystarcza, aby przypisać inną wartość każdemu atomowi w widzialnym wszechświecie.
Zakładając, że twój przeciwnik ma botnet 10 miliardów komputerów (1000 razy większy niż największy znany botnet), z których każdy może sprawdzić 1 miliard haseł na sekundę, oczekiwany czas na znalezienie hasła metodą brutalnej siły wyniósłby 5,87 x 10 51 lat - to 45 bilionów bilionów bilionów razy wiek wszechświata.
Więc tak, twoje hasło jest całkowicie zabezpieczone przed brutalnym wymuszaniem. W rzeczywistości, zakładając, że używasz AES-256, twoje 64-znakowe hasło nie zapewnia dodatkowej ochrony ponad 39-znakowym hasłem, ponieważ po tym momencie byłoby szybsze użycie siły.
źródło
Jeśli twoje hasło jest wystarczająco losowe, to zgodnie ze szczegółami BlueRaja jesteś całkowicie bezpieczny przed atakiem siłowym.
Istnieje jednak nieco silniejsze i z pewnością mniej bolesne podejście, które może być dla ciebie dostępne (mówię „może”, ponieważ nie jestem wystarczająco zaznajomiony z TrueCrypt; używam tego podejścia z napędem LUKS / AES-256). Zamiast tego odblokuj dysk za pomocą klucza prywatnego . Przechowuj ten klucz na dysku USB. Zablokuj ten klucz za pomocą hasła (nie musi być zbyt skomplikowane), a będziesz skutecznie w dwuskładnikowej nirwanie.
Dla prawdziwie paranoicznych istnieją wektory ataku inne niż atak zimnego rozruchu:
Trwały atak sektora rozruchowego . Na przykład:
Zły facet, który ma fizyczny dostęp do twojej maszyny, może zastąpić moduł ładujący TrueCrypt złośliwym. Będzie wyglądał i działał wystarczająco jak TrueCrypt, umożliwiając odblokowanie i dostęp do zaszyfrowanego dysku, ale przechowałby twoje hasło do późniejszego odzyskania przez złego faceta. Właściwie nie testowałem tego, ale przeczytałem, że narzędzie tego rodzaju rzeczywiście istnieje:
http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf
(Znów nie wiem, czy TrueCrypt to obsługuje, ale ...) Dobrym rozwiązaniem jest umieszczenie sektora rozruchowego i niezaszyfrowanego modułu ładującego na dysku USB. Przypuszczalnie trzymasz to przy sobie. (Aby zwiększyć bezpieczeństwo, użyj napędu USB z szyfrowaniem sprzętowym).
Rejestrator kluczy lub nagranie wideo z wprowadzaniem hasła. Użycie klucza opartego na napędzie USB ochroniłoby cię przed tym (dopóki atakujący nie zmodyfikuje twojego sprzętu, aby monitorować USB / magistralę danych / pamięć twojego komputera. To, jak sądzę, jest mało prawdopodobne ...)
Niezłe odniesienie do wektora ataku szyfrującego: http://tldp.org/HOWTO/html_single/Disk-Encryption-HOWTO/#ThreatModel
źródło
Właściwe pytanie brzmi: jakie ryzyko próbujesz zminimalizować i czy szyfrowanie HD jest wystarczające, aby zminimalizować go do akceptowalnego poziomu. Jeśli przechowujesz super ściśle tajny plan rządowy, który planuje przejąć świat, możesz potrzebować mniej lub bardziej bezpieczeństwa niż w przypadku ochrony swoich osobistych danych finansowych (lub ukrytej skrytki).
Ludzie strasznie oceniają prawdziwy poziom ryzyka związanego z działalnością. Są szanse, że jeśli ktoś ukradnie Twój laptop, jest bardziej zainteresowany jego ponownym użyciem niż uzyskaniem danych (chyba że masz te super tajne plany ...)
źródło
Nawiasem mówiąc, możesz ukryć niektóre zaszyfrowane woluminy za fałszywymi plikami filmów: http://www.ghacks.net/2011/04/12/disguising-true-crypt-volumes-in-mp4-videos/
źródło
Wszystko można złamać / zhakować / obejść / ...
Nie każdy może to zrobić (większość ludzi nie może), ale zawsze są ludzie, którzy mogą zrobić coś więcej niż zwykły użytkownik komputera.
źródło
O wiele bardziej jesteś narażony na wirusa na twoim komputerze, który uzyskuje dostęp do odblokowanego dysku lub zagląda do danych tekstowych w locie.
źródło