暗号化されたHDDは100%安全ですか?
私は少し妄想的なハだと思います...とにかく私はすべての印刷可能なASCII文字とパスワードは64文字の長さを使用してtruecryptでHDDを暗号化しました。それはかなりランダムで、確かに辞書の単語はありませんしかし、それでも簡単に覚えることは可能です。
総当たり攻撃は可能ですか?安全であるはずなのに、10回くらいでパスワードを推測できる可能性はないのでしょうか。
確かにその可能性は存在します。彼らが言うように時々落雷。
簡単な答えは:いいえ!
バグ/脆弱性などが含まれている可能性があるため、それ自体で安全なセキュリティ対策はありません。保護を回避するための単一の方法(ブルートフォースなど)に耐えることができますが、処理できない可能性のある方法の組み合わせが存在する可能性があります。
Truecryptは " コールドブート攻撃 "に対して脆弱でした(またはまだですか?)
TrueCryptはそのキーをRAMに保存します。通常のパソコンでは、DRAMは電源が切れてから数秒間(温度が下がるとそれ以上)内容を保持します。メモリの内容が多少低下した場合でも、さまざまなアルゴリズムでキーをインテリジェントに回復できます。コールドブート攻撃(特に、電源投入、一時停止、または画面ロックモードで取得されたノートブックコンピューターに適用される)として知られるこの方法は、TrueCryptで保護されたファイルシステムを攻撃するために正常に使用されています。
「TrueCryptセキュリティの懸念」に関する追加の読み物。
すべてのASCII文字がある場合、率直に言って、それでも可能ですが、ほとんどありません。
http://howsecureismypassword.net/ によると、通常のデスクトップコンピュータがクラックするのにおよそ314兆年かかりますあなたのパスワード。これは、宇宙の存在下で残っている時間よりも数桁大きいです。あなたはブルートフォースの最前線で覆われていると思います。
楽しみのために:
1 trigintillion = 1,000,000,000,000,000,000,000,000,000,000,
000,000,000,000,000,000,000,000,000,000,000
000,000,000,000,000,000,000,000,000,000
職場では、ハードドライブの暗号化を日常的に扱っています。真実は、あなたがあなたのドライブに持っている種類の暗号化はおそらくホームユーザーにとって非常に十分であるということです。私は自分のすべてのデータに偏執的であるという同じ感覚を持っており、truecryptは私を満足させます。
ただし、ハードドライブの真の暗号化はハードウェアレベルで行う必要があります。ネット上でStonewoodドライブ(Flagstones)を探します。完全なハードウェア暗号化を提供し、ロックアウトする前に最大5回試行し、政府の基準に従ってドライブを完全に破壊する前にさらに5回試行します。
「ブルートフォースできますか」への応答:
印刷可能なASCII文字(スペースを含む)が95個あるため、95個あります64 可能な64文字のパスワード。それは3.75x10です126、これは420ビットを超えるセキュリティです。比較すると、128ビットはAESキーのブルートフォースから安全であると見なされ、265ビットは、可視宇宙のすべてのatomに異なる値を割り当てるのに十分です。
敵が100億台のコンピューター(既知の最大のボットネットの1000倍)のボットネットを持っていて、それぞれが1秒あたり10億個のパスワードをチェックできると仮定すると、ブルートフォースでパスワードを見つけると予想される時間は5.87 x10になります。51 年-それは宇宙の年齢の45兆兆兆倍です。
つまり、はい、パスワードはブルートフォーシングから完全に保護されています。実際、AES-256を使用していると仮定すると、64文字のパスワードでは39文字のパスワードよりもセキュリティが強化されません。その時点で、キーをブルートフォースするだけの方が高速です。
パスワードが十分にランダムである場合、BlueRajaが詳細に説明しているように、ブルートフォース攻撃から非常に安全です。
ただし、利用できる可能性のあるアプローチはわずかに強力で、確かにそれほど苦痛ではありません(TrueCryptに精通していないため、「可能性があります」と言います。このアプローチはLUKS/AES-256ドライブで使用します)。 代わりに秘密鍵でドライブのロックを解除します。そのキーをUSBドライブに保存します。そのキーをパスフレーズでロックすると(過度に複雑である必要はありません)、効果的に2要素のニルヴァーナになります。
真の妄想の場合、コールドブート攻撃以外の攻撃ベクトルがあります。
永続的なブートセクタ攻撃。例えば:
あなたのマシンに物理的にアクセスできる悪者が、TrueCryptブートローダーを悪意のあるものに置き換える可能性があります。見た目も動作もTrueCryptと十分に似ているため、暗号化されたドライブのロックを解除してアクセスできますが、後で悪意のあるユーザーが取得できるようにパスフレーズを保存します。私は実際にこれをテストしていませんが、この性質のツールが実際に存在することを読みました。
http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf
(繰り返しになりますが、TrueCryptがこれをサポートしているかどうかはわかりませんが...)これに対する適切な解決策は、ブートセクターと暗号化されていないブートローダーをUSBドライブに配置することです。おそらくあなたはこれをあなたの人に留めておきます。 (セキュリティを強化するために、ハードウェア暗号化を備えたUSBドライブを使用してください)。
パスワードを入力したキーロガーまたはビデオ録画。 USBドライブベースのキーを使用すると、これから保護されます(攻撃者がハードウェアを変更して、マシンのUSB /データバス/メモリを監視するまで。これはありそうもないと思います...)
優れた暗号化攻撃ベクトルリファレンス: http://tldp.org/HOWTO/html_single/Disk-Encryption-HOWTO/#ThreatModel
ちなみに、暗号化されたボリュームを偽の映画ファイルの後ろに隠すこともできます: http://www.ghacks.net/2011/04/12/disguising-true-crypt-volumes-in-mp4-videos/
正しい質問は、どのようなリスクを軽減しようとしているのか、そしてHD暗号化は許容可能なレベルまで軽減するのに十分であるかということです。世界を引き継ぐための極秘の政府計画計画を保存している場合は、個人の財務データ(またはpr0n stash)を保護している場合よりも多かれ少なかれセキュリティが必要になる可能性があります。
人間は、活動に関連するリスクの真のレベルを評価するのが恐ろしいです。誰かがあなたのラップトップを盗んだ場合、彼らはデータを取得するよりもそれを再利用することに興味がある可能性があります(あなたがそれらの極秘の計画を持っていない限り...)
ロックされていないドライブにアクセスしたり、「飛行中」のクリアテキストデータを覗いたりするコンピュータ上のウイルスのリスクがはるかに高くなります。
何でもクラック/ハッキング/バイパス/ ...
誰もがそれを実行できるわけではありませんが(ほとんどの人は実行できません)、平均的なコンピューターユーザーよりも少し多くのことができる人が常にいます。