HDD được mã hóa an toàn 100%?


28

Tôi đoán là một chút hoang tưởng ... dù sao tôi cũng đã mã hóa ổ cứng của mình bằng truecrypt bằng cách sử dụng tất cả các ký tự ASCII có thể in và mật khẩu dài 64 ký tự. Nó khá ngẫu nhiên, chắc chắn không có từ trong từ điển nhưng vẫn có thể ghi nhớ dễ dàng.

Nó có thể bị cưỡng bức? Vấn đề là, tôi biết rằng nó được cho là an toàn, nhưng không có khả năng ai đó có thể đoán mật khẩu sau 10 lần thử?

Chắc chắn khả năng đó tồn tại. Đôi khi sét đánh như họ nói.


17
64 ký tự dài, thực sự? Bạn đang troll chúng tôi?
uSlackr

4
Không chắc mật khẩu có thể đoán được sau 10 lần thử. Mật khẩu chắc chắn có thể bị phá hủy chỉ là vấn đề của thời gian cho đến khi mật khẩu chính xác được thử. Tôi không chắc chắn chính xác mục đích của mật khẩu 64 ký tự. Số lượng ký tự có thể tăng chỉ vài trăm nghìn tỷ giữa mật khẩu 16 ký tự trở lên. Nói cách khác, số lượng mật khẩu có thể rất lớn ở mức 15 và 20 ký tự, nó sẽ không phải là vũ lực trong khi mật khẩu còn sống của bạn được cung cấp là ngẫu nhiên. Điều tôi quan tâm là bạn có thể nhớ nó, điều đó có nghĩa là nó có khả năng giống như P @ assword.
Ramhound

6
Dễ dàng hơn nếu bạn có 6 đứa trẻ, tên ngắn hơn sẽ dễ nhớ hơn.
hoang tưởng

10
Mỗi lần tôi muốn gắn ổ cứng đó, tôi phải cân nhắc những ưu và nhược điểm. "Tôi có thực sự muốn dữ liệu đó không? Có đáng để nhập mật khẩu không?"
Michael Mrozek

5
Có khả năng ai đó chỉ cần đoán mật khẩu của bạn trong một lần thử.
Nick T

Câu trả lời:


33

Câu trả lời ngắn gọn là không!

Không có biện pháp bảo mật nào là an toàn, vì nó có thể chứa lỗi / lỗ hổng / v.v. Nó có thể chịu được một phương thức duy nhất (ví dụ như vũ phu) để phá vỡ sự bảo vệ, nhưng có thể có sự kết hợp của các phương pháp mà nó có thể không thể xử lý được.

Truecrypt là (hoặc, vẫn là?) Dễ bị " tấn công khởi động lạnh ":

Mật khẩu được lưu trong bộ nhớ

TrueCrypt lưu trữ khóa của nó trong RAM; trên một máy tính cá nhân thông thường, DRAM sẽ duy trì nội dung của nó trong vài giây sau khi cắt nguồn (hoặc lâu hơn nếu nhiệt độ hạ thấp). Ngay cả khi có một số sự xuống cấp trong nội dung bộ nhớ, các thuật toán khác nhau có thể phục hồi các khóa một cách thông minh. Phương pháp này, được gọi là tấn công khởi động nguội (đặc biệt sẽ áp dụng cho máy tính xách tay thu được khi ở chế độ bật nguồn, treo hoặc khóa màn hình), đã được sử dụng thành công để tấn công hệ thống tệp được TrueCrypt bảo vệ.

Đọc thêm về " Mối quan tâm bảo mật TrueCrypt ".


5
Các cuộc tấn công Cold Boot có thể được giảm thiểu bằng cách cho phép kiểm tra bộ nhớ trong BIOS (sẽ xóa RAM khi bật nguồn) và ngăn ai đó gỡ DIMM khỏi PC của bạn (điều này sẽ ngăn ai đó kéo DIMM và sao chép nội dung). Oh, và epoxy pin nhảy CMOS của bạn và nhảy rõ ràng CMOS để ngăn người khác vô hiệu hóa kiểm tra bộ nhớ.
myron-semack

1
TrueCrypt 7 xóa mật khẩu được lưu trong bộ nhớ cache khỏi bộ nhớ trình điều khiển, sau khi TrueCrypt thoát hoặc tự động tháo thiết bị. Bạn có thể kích hoạt tính năng này trong "
Mật mã

63

Thực tế thực tế thực tế: không ai quan tâm đến bí mật của mình.  (Ngoài ra, tôi sẽ khó có thể tìm thấy chiếc cờ lê đó với giá 5 đô la.)

Nếu bạn có tất cả các ký tự ASCII, khá thẳng thắn, điều đó vẫn có thể xảy ra - nhưng rất khó xảy ra.


1
@Nifle - Chỉnh sửa đẹp! :)
William Hilsum

18

Theo http://howsecureismypassword.net/ , sẽ mất khoảng 314 nghìn tỷ năm để một máy tính để bàn bình thường phá được mật khẩu của bạn. Đó là một số mệnh lệnh lớn hơn thời gian còn lại trong sự tồn tại của Vũ trụ . Tôi nghĩ rằng bạn được bảo vệ trên mặt trận vũ phu.

Chỉ để cho vui:

1 trigintillion = 1,000,000,000,000,000,000,000,000,000,000,
                  000,000,000,000,000,000,000,000,000,000,000
                  000,000,000,000,000,000,000,000,000,000

14

Trong công việc, chúng tôi xử lý mã hóa ổ cứng hàng ngày. Sự thật là, loại mã hóa bạn có trên ổ đĩa của bạn có lẽ là rất đủ cho người dùng gia đình. Tôi có cùng cảm giác hoang tưởng với tất cả dữ liệu của mình và truecrypt thỏa mãn tôi.

Tuy nhiên, mã hóa thực sự cho các ổ đĩa cứng phải ở cấp độ phần cứng. Tìm kiếm các ổ Stonewood (Flagstones) trên mạng. Họ cung cấp mã hóa phần cứng đầy đủ với tối đa 5 lần thử trước khi khóa, sau đó thêm 5 lần nữa trước khi phá hủy hoàn toàn ổ đĩa theo tiêu chuẩn của chính phủ.


10

Để đáp lại "Có thể bị ép buộc" :

Có 95 ký tự ASCII có thể in (bao gồm cả không gian), do đó, có 95 64 mật khẩu 64 ký tự có thể. Đó là 3,75 x 10 126 , bảo mật hơn 420 bit. Khi so sánh, 128 bit được coi là an toàn khỏi sự ép buộc đối với khóa AES và 265 bit là đủ để gán một giá trị khác nhau cho mọi nguyên tử trong vũ trụ hữu hình.

Giả sử đối thủ của bạn có botnet gồm 10 tỷ máy tính (lớn hơn 1000 lần so với botnet lớn nhất được biết), mỗi mạng có thể kiểm tra 1 tỷ mật khẩu mỗi giây, thời gian dự kiến ​​để tìm mật khẩu của bạn bằng vũ lực sẽ là 5,87 x 10 51 năm - đó là 45 nghìn tỷ nghìn tỷ nghìn tỷ lần tuổi của vũ trụ.

Vì vậy, có, mật khẩu của bạn là an toàn tuyệt đối từ vũ phu. Trên thực tế, giả sử bạn đang sử dụng AES-256, mật khẩu 64 ký tự của bạn không bảo mật thêm cho mật khẩu 39 ký tự, bởi vì sau thời điểm đó, sẽ nhanh hơn khi chỉ sử dụng khóa.


4
"TrueCrypt sử dụng AES với khóa 256 bit". Do đó, sử dụng hơn 39 ký tự sẽ không thay đổi bất cứ điều gì.
Max Ried

Mặc dù điều này đúng cho đến nay, các tính toán như thế này cho rằng tất cả các khả năng mật khẩu phải được thử để cuộc tấn công thành công. Đó là, bạn cho rằng khả năng mật khẩu cuối cùng sẽ là mật khẩu chính xác, thay vì chỉ là mật khẩu cuối cùng họ thử. Đó có thể là lần đầu tiên, thứ mười lăm hoặc thứ năm mươi dễ dàng như vậy. Họ sau khi thử tất cả các mật khẩu theo thứ tự ngẫu nhiên. Và ngẫu nhiên cho phép thành công sớm cũng như không có thành công nào cả. Vì chúng ta vào hoang tưởng.
zenbike

@zenbike: Vâng, điều đó được tính đến trong tính toán của tôi; các dự kiến thời gian (trung bình trong nhiều nỗ lực) là vuông gốc của không gian tìm kiếm (xem ở đây ) - có nghĩa là, sau 5,87 x 10 ^ 51 năm, có một cơ hội 50% là đã tìm thấy nó. Cơ hội giảm xuống nhanh chóng khi chúng ta tiến gần hơn; chẳng hạn, cơ hội tìm thấy mật khẩu trong 5,87 x 10 ^ 46 năm là khoảng 0,000001% - cơ hội tìm thấy mật khẩu trong thời gian sống của chúng ta sẽ giống như cơ hội một người ngẫu nhiên đi qua tường do hiệu ứng lượng tử .
BlueRaja - Daniel Pflughoeft

@BlueRaja: Tuy nhiên, dù nhỏ như cơ hội, nó vẫn tồn tại và khả năng (không phải xác suất) phá vỡ mã hóa trong khung thời gian có thể sử dụng cũng tồn tại.
zenbike

@zenbike: May mắn thay, chúng ta sống trong thế giới thực, nơi một số thứ không thể thực hiện được, chúng được xem xét, cho tất cả ý định và mục đích, không thể. Điều này thật may mắn, vì nó hoàn toàn có thể, ví dụ, cho mọi nguyên tử trong cơ thể tôi từ hóa cùng một lúc và tách sắt ra khỏi máu của tôi; hoặc cho mọi liên kết đột nhiên phá vỡ, biến tôi thành khí gas. Quay trở lại thế giới thực, SHA-1 chỉ có 80 bit an ninh (nhiều bậc độ lớn nhỏ hơn mật khẩu của mình) chống va chạm, tuy nhiên, mặc dù các siêu máy tính tích cực tìm kiếm, không ai đã bao giờ tìm thấy hai mật khẩu mà băm với cùng SHA-1 .
BlueRaja - Daniel Pflughoeft

6

Nếu mật khẩu của bạn đủ ngẫu nhiên thì, như BlueRaja đã nêu chi tiết, bạn hoàn toàn an toàn trước một cuộc tấn công vũ phu.

Tuy nhiên, có một cách tiếp cận mạnh mẽ hơn và chắc chắn ít đau đớn hơn, có thể có sẵn cho bạn (tôi nói "có thể" vì tôi không đủ quen thuộc với TrueCrypt; Tôi sử dụng phương pháp này với ổ LUKS / AES-256). Thay vào đó, mở khóa ổ đĩa bằng một khóa riêng . Lưu khóa đó trên ổ USB. Khóa khóa đó bằng cụm mật khẩu (không cần quá phức tạp) và bạn thực sự có hiệu quả trong Nirvana hai yếu tố.

Đối với những người thực sự hoang tưởng , có những vectơ tấn công khác với một cuộc tấn công khởi động lạnh:

  1. Một cuộc tấn công khu vực khởi động liên tục . Ví dụ:

    Một kẻ xấu, người có quyền truy cập vật lý vào máy của bạn, có thể thay thế trình tải khởi động TrueCrypt bằng trình độc hại. Nó sẽ trông và hoạt động đủ như TrueCrypt, cho phép bạn mở khóa và truy cập vào ổ đĩa được mã hóa của bạn, nhưng sẽ lưu trữ cụm mật khẩu của bạn để kẻ xấu lấy lại sau này. Tôi đã không thực sự thử nghiệm điều này, nhưng tôi đọc rằng một công cụ có tính chất này thực sự tồn tại:

    http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf

    (Một lần nữa, tôi không biết liệu TrueCrypt có hỗ trợ điều này không, nhưng ...) Một giải pháp hợp lý cho vấn đề này là đặt khu vực khởi động và bộ tải khởi động không được mã hóa vào ổ USB. Có lẽ bạn giữ điều này trên người của bạn. (Để bảo mật hơn, hãy sử dụng ổ USB có mã hóa phần cứng).

  2. Một trình ghi nhật ký khóa hoặc ghi video bạn nhập mật khẩu của bạn. Sử dụng khóa dựa trên ổ USB sẽ bảo vệ bạn khỏi điều này (cho đến khi kẻ tấn công sửa đổi phần cứng của bạn để giám sát USB / bus dữ liệu / bộ nhớ của máy. Điều này, tôi cho rằng, không chắc là ...)

Tham chiếu vectơ tấn công mã hóa đẹp: http://tldp.org/HOWTO/html_single/Disk-Encrypt-HOWTO/#ThreatModel


2

Câu hỏi đúng là rủi ro nào bạn đang cố gắng giảm thiểu và mã hóa HD có đủ để giảm thiểu đến mức chấp nhận được không. Nếu bạn đang lưu trữ các kế hoạch chính phủ siêu bí mật để chiếm lấy thế giới, thì bạn có thể cần bảo mật nhiều hơn hoặc ít hơn so với việc bạn đang bảo vệ dữ liệu tài chính cá nhân của mình (hoặc pr0n stash).

Con người thật kinh khủng khi đánh giá mức độ rủi ro thực sự liên quan đến một hoạt động. Rất có thể nếu ai đó đánh cắp máy tính xách tay của bạn, họ sẽ thích sử dụng lại hơn là lấy dữ liệu (trừ khi bạn có những kế hoạch siêu bí mật đó ...)



0

Bất cứ điều gì cũng có thể bị bẻ khóa / hack / bỏ qua / ...
Không phải ai cũng có thể làm điều đó (hầu hết mọi người không thể làm được), nhưng luôn có những người ngoài kia có thể làm nhiều hơn một chút so với người dùng máy tính avarage.


0

Bạn có nhiều nguy cơ hơn từ một loại virus trên máy tính của bạn truy cập vào ổ đĩa đã được mở khóa hoặc nhìn trộm vào dữ liệu xóa văn bản "trong chuyến bay".

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.