TrueCrypt + Yubikeyの組み合わせのベストプラクティス
TrueCryptで外部ディスクを暗号化する安全で便利な方法を見つけようとしています。現在、50文字の強力なパスワードを使用していますが、毎回入力するのにうんざりしています。ユビキーとこのタスク専用のUSBスティックをいくつか持っているので、2要素認証を利用できると思います。私はいくつかの解決策を挙げましたが、私が思いつくことができる最高のものは以下です。何かをする前に、私はいくつかの専門家の意見を得ることにしました。
Ideeaは静的で強力なパスワードを持つYubikeyを使用しています。これは私が持っているものになります。また、USBメモリスティックに保存されているキーファイルを使用する予定です。 USBは暗号化されませんが、数百の小さなファイルが存在します。そして、私はそれらの小さな組み合わせを使用します。これも私が持っているものですが、組み合わせは私が知っているものになります。したがって、誰かが両方のアイテムを手に入れても、組み合わせなしではマウントできません。たとえば、ディスクに100個のファイルがあり、3つのファイルを使用している場合、組み合わせは161700になります。
利便性の観点から、両方のデバイスをプラグインする必要があります。 Yubikeyを1回タッチして、キーファイルを選択します。それでも非常に高速で簡単に聞こえませんが、手動でパスワードを入力するよりも苦痛が少なくなることを願っています。
この方法についてどう思いますか?このアプローチをより安全またはより便利にするために(安全性を低下させることなく)何を提案しますか?
前もって感謝します。
ファイルの順序が重要でない場合は、161,700の組み合わせです。ファイルの順序が重要な場合は、970,200の組み合わせです。しかし、970,200の組み合わせでさえ、献身的な敵に対して十分ではありません。
私があなたのユビキーとUSBスティックを持っているが、その組み合わせがわからず、組み合わせをブルートフォースにしたいとします。 TrueCrpyt暗号化キー導出関数は、パスワードでSHA-512を1,000回実行するため、970,200の組み合わせでは、SHA-512を約10億回実行する必要があります。これは、現在の世代のGPUで実行するのに約10秒かかります。それほど難しいことではありません。
ファイルの数を10000に増やして5つのファイルを使用することができる場合(ファイルの順序が重要であると想定)、ほぼ10 ^ 20の組み合わせがあり、少なくともこの数年間は、この目的に十分適している可能性があります。ムーアの法則はあなたに追いつきます。
敵がNSAやGCHQなどの場合、それでも十分ではない可能性があります。したがって、100,000個のファイルを使用し、そのうちの6個を使用して、合計でほぼ10 ^ 30の組み合わせにすることができます。これは、100ビットのキーに相当し、おそらく現在の50文字のパスワードよりもエントロピーが高くなります。
既成の2要素認証(あるいは 要素認証 )を使用する代わりに、ホイールを再発明することによって何が得られるかは私には明らかではないと言いました。
長くて静的なYubikeyパスワードと、知っている短い(比較的)パスワードを組み合わせることをお勧めします。 USBスティックからミックスにファイルを追加します。この方法では、持っている2つのアイテム(YubikeyとUSB-stick)と、知っているもの(パスワード)が必要です。