HDD crittografato sicuro al 100%?

28

Immagino che sia un po 'paranoico ... comunque ho crittografato il mio disco fisso con TrueCrypt usando tutti i caratteri ASCII stampabili e la password è lunga 64 caratteri. È abbastanza casuale, certamente senza parole del dizionario ma è ancora possibile memorizzarlo facilmente.

Può essere forzato? Il fatto è che so che dovrebbe essere sicuro, ma non c'è la possibilità che qualcuno possa indovinare la password dopo 10 tentativi?

Sicuramente questa possibilità esiste. A volte i fulmini come si suol dire.

— paranoiaISgood
fonte

17

64 caratteri, davvero? Ci stai trollando?

— uSlackr,

4

È improbabile che la password possa essere indovinata in 10 tentativi. La password può certamente essere forzata solo una volta per volte fino a quando viene tentata la password corretta. Non sono esattamente sicuro dello scopo di una password di 64 caratteri. Il possibile numero di caratteri aumenta di poche centinaia di miliardi tra una password di 16 caratteri e oltre. In altre parole, la quantità di possibili password è così grande con 15 e 20 caratteri che non sarà una forza bruta mentre sei vivo a condizione che la password sia casuale. Quello che mi preoccupa è che puoi ricordarlo, il che significa che probabilmente è qualcosa come P @ assword.

— Ramhound,

6

Più facile se hai 6 figli, i nomi più brevi sono più facili da ricordare.

— paranoia: buon

10

Ogni volta che volevo montare quel disco rigido avrei dovuto valutare i pro ei contro. "Voglio davvero quei dati? Vale la pena digitare la password?"

— Michael Mrozek,

5

C'è la possibilità che qualcuno possa indovinare la tua password in un solo tentativo.

— Nick T,

33

La risposta breve è: NO!

Nessuna misura di sicurezza è sicura da sola, in quanto potrebbe contenere bug / vulnerabilità / ecc. Potrebbe resistere a un solo metodo (ad esempio la forza bruta) per aggirare la protezione, ma potrebbe esserci una combinazione di metodi che potrebbe non essere in grado di gestire.

TrueCrypt era (o è ancora?) Vulnerabile agli " attacchi di avvio a freddo ":

Password archiviate in memoria

TrueCrypt memorizza le sue chiavi nella RAM; su un normale personal computer la DRAM manterrà il suo contenuto per diversi secondi dopo l'interruzione dell'alimentazione (o più a lungo se la temperatura viene abbassata). Anche se c'è un certo degrado nel contenuto della memoria, vari algoritmi possono recuperare intelligentemente le chiavi. Questo metodo, noto come attacco di avvio a freddo (che si applicherebbe in particolare a un computer portatile ottenuto in modalità di accensione, sospensione o blocco dello schermo), è stato utilizzato con successo per attaccare un file system protetto da TrueCrypt.

Letture aggiuntive su " Preoccupazioni di sicurezza TrueCrypt ".

— TFM
fonte

5

Gli attacchi di Cold Boot possono essere mitigati abilitando i test di memoria nel BIOS (che cancellerà la RAM all'accensione) e impedendo a qualcuno di rimuovere i DIMM dal PC (che impedirà a qualcuno di estrarre i DIMM e copiare i contenuti). Oh, ed epossidica la batteria CMOS e il ponticello trasparente CMOS per impedire a qualcuno di disabilitare il test della memoria.

— Myron-Semack,

1

TrueCrypt 7 cancella le password memorizzate nella cache dalla memoria del driver, dopo l'uscita di TrueCrypt o lo smontaggio automatico dei dispositivi. Puoi abilitarlo in "True Crypt - Preferenze" -Dialog

— DiableNoir,

63

Realtà reale effettiva: a nessuno importa dei suoi segreti. (Inoltre, sarebbe difficile trovare quella chiave inglese per $ 5.)

Se hai tutti i caratteri ASCII, francamente, è ancora possibile - ma altamente improbabile.

— William Hilsum
fonte

1

@Nifle - bella modifica! :)

— William Hilsum,

18

Secondo http://howsecureismypassword.net/ , occorrerebbero circa 314 trigintillioni per un normale computer desktop per decifrare la password. Sono diversi ordini di grandezza maggiori del tempo rimasto nell'esistenza dell'Universo . Penso che tu sia coperto sul fronte della forza bruta.

Solo per divertimento:

1 trigintillion = 1,000,000,000,000,000,000,000,000,000,000,
                  000,000,000,000,000,000,000,000,000,000,000
                  000,000,000,000,000,000,000,000,000,000

— Chad Levy
fonte

14

Al lavoro, ci occupiamo della crittografia del disco rigido su base giornaliera. La verità è che il tipo di crittografia che hai sul tuo disco è probabilmente molto sufficiente per un utente domestico. Ho la stessa sensazione di essere paranoico con tutti i miei dati e TrueCrypt mi soddisfa.

Tuttavia, la crittografia vera per i dischi rigidi deve essere a livello hardware. Cerca unità Stonewood (lastre di pietra) in rete. Offrono la crittografia hardware completa con un massimo di 5 tentativi prima di bloccare, quindi altri 5 prima di distruggere completamente l'unità secondo gli standard governativi.

— n0pe
fonte

10

In risposta a "Può essere forzato" :

Esistono 95 caratteri ASCII stampabili (incluso lo spazio), quindi ci sono 95 ⁶⁴ possibili password di 64 caratteri. Sono 3,75 x 10 ¹²⁶ , che è oltre 420 bit di sicurezza. In confronto, 128 bit sono considerati sicuri dalla forzatura bruta per una chiave AES e 265 bit sono sufficienti per assegnare un valore diverso a ciascun atomo nell'universo visibile.

Supponendo che il tuo avversario abbia una botnet di 10 miliardi di computer (1000 volte più grande della più grande botnet conosciuta), ognuno dei quali può controllare 1 miliardo di password al secondo, il tempo previsto per trovare la password con la forza bruta sarebbe di 5,87 x 10 ⁵¹ anni - sono 45 trilioni di trilioni di miliardi di volte l'era dell'universo.

Quindi sì, la tua password è assolutamente sicura dalla forza bruta. In effetti, supponendo che tu stia utilizzando AES-256, la tua password di 64 caratteri non ti dà ulteriore sicurezza rispetto a una password di 39 caratteri, perché dopo quel punto sarebbe più veloce forzare la chiave a forza bruta.

— BlueRaja - Danny Pflughoeft
fonte

4

"TrueCrypt utilizza AES con una chiave a 256 bit". Pertanto, l'utilizzo di più di 39 caratteri non cambierà nulla.

— Max Ried il

Sebbene ciò sia vero per quanto possibile, calcoli come questo presuppongono che tutte le possibilità di password debbano essere provate affinché l'attacco abbia successo. Cioè, stai supponendo che l'ultima possibilità di password sia quella corretta, piuttosto che l'ultima che provano. Quale potrebbe essere il primo, il quindicesimo o il cinquantesimo altrettanto facilmente. Dopotutto stanno provando le password in ordine casuale. E casuale permette un successo iniziale e nessun successo. Dal momento che siamo in paranoia.

— zenbike,

@zenbike: Sì, questo è preso in considerazione nei miei calcoli; il tempo previsto (in media per molti tentativi) è la radice quadrata dello spazio di ricerca (vedi qui ), ovvero dopo 5,87 x 10 ^ 51 anni, c'è una probabilità del 50% di averlo trovato. La possibilità diminuisce rapidamente man mano che ci avviciniamo; per esempio, la possibilità di trovare la password in 5,87 x 10 ^ 46 anni è di circa 0,000001% - la possibilità di trovare la password nelle nostre vite sarebbe quasi uguale alla possibilità che una persona passi casualmente attraverso un muro a causa di effetti quantici .

— BlueRaja - Danny Pflughoeft il

@BlueRaja: Eppure, per quanto piccola sia la possibilità, esiste ed esiste anche la possibilità (non la probabilità) di violare la crittografia in un lasso di tempo utilizzabile.

— zenbike,

@zenbike: Fortunatamente, viviamo nel mondo reale, dove alcune cose sono così improbabili da essere considerate, a tutti gli effetti, impossibili. Questo è fortunato, perché è completamente possibile, ad esempio, che ogni atomo del mio corpo magnetizzi immediatamente e mi strappi il ferro dal sangue; o perché ogni legame si spezzi improvvisamente, trasformandomi in un gas. Nel mondo reale, SHA-1 ha solo 80 bit di sicurezza (molti ordini di grandezza in meno della sua password) contro le collisioni, eppure, nonostante i supercomputer stiano attivamente cercando, nessuno ha mai trovato due password che hanno lo stesso SHA-1 .

— BlueRaja - Danny Pflughoeft il

6

Se la tua password è sufficientemente casuale, come dettagliato da BlueRaja, sei al sicuro da un attacco di forza bruta.

Tuttavia, esiste un approccio leggermente più forte, e sicuramente meno doloroso, che potrebbe essere disponibile per te (dico "può" perché non ho abbastanza familiarità con TrueCrypt; utilizzo questo approccio con un'unità LUKS / AES-256). Sblocca invece l'unità con una chiave privata . Conservare quella chiave su un'unità USB. Blocca quella chiave con una passphrase (non deve essere eccessivamente complessa) e sei effettivamente nel Nirvana a due fattori.

Per i veramente paranoici , ci sono vettori di attacco diversi da un attacco di avvio a freddo:

Un attacco persistente nel settore di avvio . Per esempio:

Un cattivo, che ha accesso fisico alla tua macchina, potrebbe sostituire il caricatore di avvio TrueCrypt con uno maligno. Sembrerebbe e si comporterebbe sufficientemente come TrueCrypt, consentendoti di sbloccare e accedere all'unità crittografata, ma memorizzerebbe la passphrase per il successivo recupero da parte del cattivo. In realtà non l'ho provato, ma ho letto che esiste davvero uno strumento di questa natura:

http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf

(Ancora una volta, non so se TrueCrypt supporta questo, ma ...) Una soluzione decente a questo è quella di posizionare il settore di avvio e il caricatore di avvio non crittografato su un'unità USB. Presumibilmente tieni questo sulla tua persona. (Per una maggiore sicurezza, utilizzare un'unità USB con crittografia hardware).
Un key-logger o una registrazione video di te che inserisci la tua password. L'uso di una chiave basata su unità USB ti proteggerebbe da questo (fino a quando un utente malintenzionato modifica il tuo hardware per monitorare USB / bus dati / memoria della tua macchina. Questo, suppongo, è improbabile ...)

Nizza riferimento al vettore di attacco di crittografia: http://tldp.org/HOWTO/html_single/Disk-Encryption-HOWTO/#ThreatModel

— JohnNKing
fonte

2

La domanda giusta è quale rischio stai cercando di mitigare ed è la crittografia HD sufficiente per mitigare a un livello accettabile. Se stai memorizzando piani di piani governativi super top-secret per conquistare il mondo, allora potresti aver bisogno di più o meno sicurezza rispetto a se stai proteggendo i tuoi dati finanziari personali (o pr0n stash).

Gli umani sono orribili nel valutare il vero livello di rischio associato a un'attività. È probabile che se qualcuno ruba il tuo laptop, è più interessato a riutilizzarlo che a ottenere i dati (a meno che tu non abbia quei piani super segreti ...)

— uSlackr
fonte

2

A proposito, potresti persino nascondere alcuni volumi crittografati dietro file di film falsi: http://www.ghacks.net/2011/04/12/disguising-true-crypt-volumes-in-mp4-videos/

— jMax
fonte

0

Tutto può essere incrinato / violato / ignorato / ...
Non tutti possono farlo (la maggior parte delle persone non può), ma ci sono sempre persone là fuori che possono fare un po 'di più rispetto all'utente medio del computer.

— RobinJ
fonte

0

Sei molto più a rischio a causa di un virus sul tuo computer che accede all'unità sbloccata o sbircia i dati in chiaro "in volo".

— Daniel R Hicks
fonte