เข้ารหัส HDD ปลอดภัย 100% หรือไม่

28

ฉันเดาว่าฉันเป็นคนหวาดระแวงฮ่า ... ฉันจะเข้ารหัส HDD ของฉันด้วย truecrypt โดยใช้อักขระ ASCII ที่พิมพ์ได้ทั้งหมดและรหัสผ่านมีความยาว 64 ตัวอักษร มันค่อนข้างสุ่มแน่นอนไม่มีคำในพจนานุกรม แต่ยังสามารถจดจำได้ง่าย

มันสามารถบังคับสัตว์เดรัจฉานได้หรือไม่? เป็นสิ่งที่ฉันรู้ว่ามันควรจะปลอดภัย แต่ไม่มีโอกาสที่ใครบางคนสามารถเดารหัสผ่านหลังจากที่พยายาม 10 ครั้ง?

แน่นอนว่าความเป็นไปได้นั้นมีอยู่จริง บางครั้งฟ้าผ่าก็เกิดขึ้นเมื่อพวกเขาพูด

— paranoiaISgood
แหล่งที่มา

17

ยาว 64 ตัวอักษรจริงเหรอ? คุณหลอกเราหรือไม่

— uSlackr

4

ไม่น่าจะเป็นรหัสผ่านที่สามารถคาดเดาได้ใน 10 ครั้ง รหัสผ่านสามารถถูก จำกัด การใช้งานได้เพียงไม่กี่ครั้งจนกว่าจะพยายามใช้รหัสผ่านที่ถูกต้อง ฉันไม่แน่ใจว่าวัตถุประสงค์ของรหัสผ่าน 64 ตัวอักษรแน่นอน จำนวนอักขระที่เป็นไปได้เพิ่มขึ้นเพียงไม่กี่ร้อยล้านล้านเท่านั้นระหว่างรหัสผ่าน 16 ตัวอักษรขึ้นไป กล่าวอีกนัยหนึ่งจำนวนรหัสผ่านที่เป็นไปได้นั้นยอดเยี่ยมมากที่ 15 และ 20 ตัวอักษรจะไม่รุนแรงหากคุณใช้รหัสผ่านแบบสุ่ม สิ่งที่เกี่ยวข้องกับฉันคือคุณสามารถจำได้ซึ่งหมายความว่าเป็นไปได้เช่น P @ assword

— Ramhound

6

ง่ายกว่าถ้าคุณมีลูก 6 คนชื่อที่สั้นกว่านั้นง่ายต่อการจดจำ

— paranoiaISgood

10

ทุกครั้งที่ฉันต้องการติดตั้งฮาร์ดไดรฟ์นั้นฉันต้องชั่งน้ำหนักข้อดีและข้อเสีย "ฉันต้องการข้อมูลนั้นจริง ๆ หรือไม่ควรพิมพ์รหัสผ่านหรือไม่"

— Michael Mrozek

5

มีโอกาสที่ใครบางคนสามารถเดารหัสผ่านของคุณได้ในครั้งเดียว

— Nick T

33

คำตอบสั้น ๆ คือ: ไม่!

ไม่มีมาตรการรักษาความปลอดภัยที่ปลอดภัยด้วยตัวเองเนื่องจากอาจมีข้อบกพร่อง / ช่องโหว่ / ฯลฯ มันอาจทนต่อวิธีการเดียว (เช่นการบังคับให้เดรัจฉาน) เพื่อหลีกเลี่ยงการป้องกัน แต่อาจมีวิธีการหลายอย่างรวมกันที่ไม่สามารถจัดการได้

Truecrypt เคย (หรือยังเป็น?) เสี่ยงต่อ " การโจมตีด้วยโคลด์บูต ":

รหัสผ่านที่เก็บไว้ในหน่วยความจำ

TrueCrypt เก็บคีย์ไว้ใน RAM บน DRAM สำหรับคอมพิวเตอร์ส่วนบุคคลทั่วไป จะเก็บเนื้อหาไว้หลายอัน วินาทีหลังจากไฟฟ้าถูกตัด (หรือนานกว่านั้น ถ้าอุณหภูมิลดลง) แม้ หากมีการย่อยสลายใน เนื้อหาหน่วยความจำอัลกอริทึมต่างๆ สามารถกู้คืนกุญแจได้อย่างชาญฉลาด วิธีนี้เรียกว่าการเริ่มระบบแบบเย็น การโจมตี (ซึ่งจะใช้ใน โดยเฉพาะกับคอมพิวเตอร์โน้ตบุ๊ค ได้รับในขณะที่เปิดเครื่อง, ถูกระงับ, หรือโหมดล็อคหน้าจอ) ได้แล้ว ใช้เพื่อโจมตีไฟล์สำเร็จแล้ว ระบบป้องกันโดย TrueCrypt

อ่านเพิ่มเติมเกี่ยวกับ " ความกังวลเรื่องความปลอดภัย TrueCrypt "

— TFM
แหล่งที่มา

5

การโจมตีแบบ Cold Boot สามารถบรรเทาได้ด้วยการเปิดใช้งานการทดสอบหน่วยความจำใน BIOS (ซึ่งจะขัด RAM ที่เปิดเครื่อง) และป้องกันไม่ให้ใครบางคนลบ DIMM ออกจากพีซีของคุณ (ซึ่งจะป้องกันไม่ให้ใครบางคนดึง DIMM โอ้แล้วเก็บ epoxy แบตเตอรี่ของคุณและจัมเปอร์ล้าง CMOS เพื่อป้องกันไม่ให้ใครบางคนปิดการใช้งานการทดสอบหน่วยความจำ

— myron-semack

1

TrueCrypt 7 จะลบรหัสผ่านที่แคชไว้จากหน่วยความจำไดรเวอร์หลังจากออกจาก TrueCrypt หรือยกเลิกการต่อเชื่อมอุปกรณ์โดยอัตโนมัติ คุณสามารถเปิดใช้งานสิ่งนี้ได้ใน "True Crypt - Preferences" -Dialog

— DiableNoir

63

Actual actual reality: nobody cares about his secrets. (Also, I would be hard-pressed to find that wrench for $5.)

หากคุณมีอักขระ ASCII ทั้งหมดค่อนข้างตรงไปตรงมาก็เป็นไปได้ - แต่ไม่น่าเป็นไปได้สูง

— William Hilsum
แหล่งที่มา

1

@Nifle - แก้ไขได้ดี! :)

— William Hilsum

18

ตามที่ http://howsecureismypassword.net/ มันจะใช้เวลาประมาณ 314 ล้านล้านปี สำหรับคอมพิวเตอร์เดสก์ท็อปทั่วไปเพื่อถอดรหัสรหัสผ่านของคุณ นั่นคือคำสั่งหลายขนาดที่ใหญ่กว่า เหลือเวลาในการดำรงอยู่ของจักรวาล . ฉันคิดว่าคุณได้รับการคุ้มครองจากด้านหน้าเดรัจฉาน

แค่เล่น ๆ:

1 trigintillion = 1,000,000,000,000,000,000,000,000,000,000,
                  000,000,000,000,000,000,000,000,000,000,000
                  000,000,000,000,000,000,000,000,000,000

— Chad Levy
แหล่งที่มา

14

ที่ทำงานเราจัดการกับการเข้ารหัสฮาร์ดไดรฟ์ทุกวัน ความจริงก็คือประเภทของการเข้ารหัสที่คุณมีในไดรฟ์ของคุณอาจจะเพียงพอสำหรับผู้ใช้ที่บ้าน ฉันมีความรู้สึกเช่นเดียวกันกับการหวาดระแวงกับข้อมูลทั้งหมดของฉันและ truecrypt ทำให้ฉันพึงพอใจ

อย่างไรก็ตามการเข้ารหัสที่แท้จริงสำหรับฮาร์ดไดรฟ์จะต้องอยู่ในระดับฮาร์ดแวร์ มองหาไดรฟ์ Stonewood (Flagstones) บนเน็ต พวกเขาเสนอการเข้ารหัสฮาร์ดแวร์เต็มรูปแบบที่มีความพยายามสูงสุด 5 ครั้งก่อนที่จะทำการล็อกจากนั้นอีก 5 ครั้งก่อนที่จะทำลายไดรฟ์อย่างสมบูรณ์ตามมาตรฐานของรัฐบาล

— n0pe
แหล่งที่มา

10

ในการตอบสนองต่อ "มันสามารถบังคับสัตว์เดรัจฉานได้หรือไม่" :

มีอักขระ ASCII ที่พิมพ์ได้ 95 ตัว (รวมถึงช่องว่าง) ดังนั้นจึงมี 95 ⁶⁴ รหัสผ่าน 64 ตัวที่เป็นไปได้ นั่นคือ 3.75 x 10 ¹²⁶ซึ่งมีความปลอดภัยมากกว่า 420 บิต ในการเปรียบเทียบ 128 บิตถือว่าปลอดภัยจากการบังคับใช้คีย์ AES และ 265 บิตนั้นเพียงพอที่จะกำหนดค่าที่แตกต่างให้กับทุกอะตอมในเอกภพที่มองเห็นได้

สมมติว่าฝ่ายตรงข้ามของคุณมีบอตเน็ตที่มีคอมพิวเตอร์ 10 พันล้านเครื่อง (ใหญ่กว่าบอตเน็ตที่รู้จักมากที่สุด 1000 เท่า) แต่ละอันสามารถตรวจสอบรหัสผ่านได้ 1 พันล้านรหัสต่อวินาทีเวลาที่คาดหวังในการค้นหา ⁵¹ ปี - นั่นคือ 45 ล้านล้านล้านล้านล้านล้านเท่าอายุของเอกภพ

ดังนั้น ใช่รหัสผ่านของคุณปลอดภัยจากการบังคับให้เดรัจฉาน ในความเป็นจริงสมมติว่าคุณกำลังใช้ AES-256 รหัสผ่าน 64 ตัวของคุณให้ความปลอดภัยเป็นพิเศษกับรหัสผ่าน 39 ตัวอักษรเพราะหลังจากนั้นจุดนั้นจะเร็วกว่าการบังคับใช้คีย์

— BlueRaja - Danny Pflughoeft
แหล่งที่มา

4

"TrueCrypt ใช้ AES ด้วยคีย์ 256 บิต" ดังนั้นการใช้มากกว่า 39 ตัวอักษรจะไม่เปลี่ยนแปลงอะไรเลย

— Max Ried

ถึงแม้ว่าสิ่งนี้จะเป็นจริงตราบใดที่มีการคำนวณเช่นนี้จะถือว่าความเป็นไปได้ของรหัสผ่านทั้งหมดจะต้องถูกลองเพื่อให้การโจมตีสำเร็จ นั่นคือคุณสมมติว่าความเป็นไปได้ของรหัสผ่านล่าสุดจะเป็นรหัสที่ถูกต้องแทนที่จะเป็นรหัสสุดท้ายที่พวกเขาลอง ซึ่งอาจเป็นครั้งแรกที่สิบห้าหรือห้าสิบเช่นเดียวกับได้อย่างง่ายดาย พวกเขากำลังพยายามใช้รหัสผ่านทั้งหมดตามลำดับแบบสุ่ม และสุ่มช่วยให้ประสบความสำเร็จในช่วงต้นเช่นเดียวกับที่ไม่ประสบความสำเร็จเลย เนื่องจากเราอยู่ในความหวาดระแวง

— zenbike

@zenbike: ใช่นั่นถูกนำมาพิจารณาในการคำนวณของฉัน ที่คาดหวัง เวลา (โดยเฉลี่ยในการพยายามหลายครั้ง) คือสแควร์รูทของพื้นที่การค้นหา (ดู ที่นี่ ) - นั่นคือหลังจาก 5.87 x 10 ^ 51 ปีมีโอกาส 50% ที่จะพบมัน โอกาสลดลงอย่างรวดเร็วเมื่อเราเข้าใกล้ ตัวอย่างเช่นโอกาสในการค้นหารหัสผ่านใน 5.87 x 10 ^ 46 ปีอยู่ที่ประมาณ 0.000001% - โอกาสในการค้นหารหัสผ่านในช่วงอายุของเราจะใกล้เคียงกับโอกาสของ คนสุ่มเดินผ่านกำแพงเนื่องจากผลควอนตัม .

— BlueRaja - Danny Pflughoeft

@BlueRaja: และยังมีขนาดเล็กที่สุดเท่าที่มีโอกาสมันมีอยู่และความเป็นไปได้ (ไม่ใช่ความน่าจะเป็น) ของการทำลายการเข้ารหัสในกรอบเวลาที่ใช้งานได้ก็มีอยู่เช่นกัน

— zenbike

@zenbike: โชคดีที่เราอยู่ในโลกแห่งความเป็นจริงซึ่งบางสิ่งที่ไม่น่าจะเป็นไปได้ที่พวกเขาถูกพิจารณาว่าเป็นไปไม่ได้ นี่เป็นโชคดีที่มันเป็นไปได้อย่างสมบูรณ์ตัวอย่างเช่นทุกอะตอมในร่างกายของฉันสามารถดึงดูดในทันทีและฉีกเหล็กออกจากเลือดของฉัน หรือเพื่อให้พันธะทุกอย่างพังทลายทำให้ฉันกลายเป็นแก๊ส ย้อนกลับไปในโลกแห่งความเป็นจริง SHA-1 มีการรักษาความปลอดภัยเพียง 80 บิต (คำสั่งที่มีขนาดน้อยกว่ารหัสผ่านของเขา) ต่อการชน แต่ถึงกระนั้นซูเปอร์คอมพิวเตอร์ก็ยังไม่มีใครค้นหา เคย พบรหัสผ่านสองรหัสที่แฮชไปยัง SHA-1 เดียวกัน

— BlueRaja - Danny Pflughoeft

6

หากรหัสผ่านของคุณถูกสุ่มอย่างคร่าวๆตามรายละเอียดของ BlueRaja คุณจะปลอดภัยจากการโจมตีด้วยกำลังดุร้าย

อย่างไรก็ตามมีวิธีการที่แข็งแกร่งกว่าเล็กน้อยและเจ็บปวดน้อยกว่าซึ่งอาจมีให้คุณ (ฉันบอกว่า "อาจ" เพราะฉันไม่คุ้นเคยกับ TrueCrypt มากพอฉันใช้วิธีนี้กับไดรฟ์ LUKS / AES-256) ปลดล็อคไดรฟ์ด้วยกุญแจส่วนตัวแทน . เก็บคีย์นั้นในไดรฟ์ USB ล็อคกุญแจนั้นด้วยวลีรหัสผ่าน (ไม่ต้องซับซ้อนจนเกินไป) และคุณมีประสิทธิภาพในเนอร์วาน่าสองปัจจัย

สำหรับทาง หวาดระแวงอย่างแท้จริง มีเวกเตอร์การโจมตีที่นอกเหนือจากการโจมตีแบบ boot-boot:

แบบถาวร บูตเซกเตอร์โจมตี . ตัวอย่างเช่น:

ชายเลวที่สามารถเข้าถึงเครื่องของคุณได้สามารถแทนที่บูตเดอร์คริปต์ด้วยเครื่องที่เป็นอันตราย มันจะมีลักษณะและดำเนินการอย่างเพียงพอเช่น TrueCrypt ช่วยให้คุณสามารถปลดล็อกและเข้าถึงไดรฟ์ที่เข้ารหัสของคุณได้ แต่จะเก็บข้อความรหัสผ่านของคุณไว้เพื่อเรียกคืนโดยคนร้าย ฉันไม่ได้ทดสอบสิ่งนี้ แต่ฉันอ่านว่าเครื่องมือในลักษณะนี้มีอยู่จริง:

http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf

(อีกครั้งฉันไม่รู้ว่า TrueCrypt รองรับสิ่งนี้หรือไม่ แต่ ... ) วิธีแก้ปัญหาที่เหมาะสมสำหรับเรื่องนี้คือการวางบูตเซกเตอร์ สมมุติว่าคุณเก็บเรื่องนี้ไว้กับตัวคุณ (เพื่อเพิ่มความปลอดภัยให้ใช้ไดรฟ์ USB พร้อมการเข้ารหัสฮาร์ดแวร์)
key-logger หรือการบันทึกวิดีโอของคุณป้อนรหัสผ่านของคุณ การใช้คีย์ที่ใช้ไดรฟ์ USB จะช่วยปกป้องคุณจากสิ่งนี้ (จนกว่าผู้โจมตีจะแก้ไขฮาร์ดแวร์ของคุณเพื่อตรวจสอบ USB / data บัส / หน่วยความจำของเครื่องของคุณสิ่งนี้ฉันคิดว่าไม่น่าเป็นไปได้ ...

การอ้างอิงแบบเวกเตอร์ของการเข้ารหัสที่ดี: http://tldp.org/HOWTO/html_single/Disk-Encryption-HOWTO/#ThreatModel

— JohnNKing
แหล่งที่มา

2

คำถามที่ถูกต้องคือความเสี่ยงที่คุณพยายามบรรเทาและมีการเข้ารหัส HD เพียงพอที่จะลดระดับที่ยอมรับได้ หากคุณกำลังจัดเก็บแผนของรัฐบาลที่มีความลับสูงเป็นพิเศษคุณอาจต้องการความปลอดภัยมากกว่าหรือน้อยกว่าการปกป้องข้อมูลทางการเงินส่วนบุคคลของคุณ (หรือ pr0n stash)

มนุษย์เป็นสิ่งที่น่ากลัวในการประเมินระดับความเสี่ยงที่แท้จริงที่เกี่ยวข้องกับกิจกรรม โอกาสคือถ้ามีคนขโมยแล็ปท็อปของคุณพวกเขาสนใจนำมาใช้ซ้ำมากกว่าการรับข้อมูล

— uSlackr
แหล่งที่มา

2

อย่างไรก็ตามคุณสามารถซ่อนวอลลุ่มเข้ารหัสไว้เบื้องหลังไฟล์ภาพยนตร์ปลอมได้: http://www.ghacks.net/2011/04/12/disguising-true-crypt-volumes-in-mp4-videos/

— JMax
แหล่งที่มา

0

อะไรก็ได้ที่สามารถถอดรหัส / แฮ็ค / บายพาส / ...
ไม่ใช่ทุกคนที่สามารถทำได้ (คนส่วนใหญ่ไม่สามารถทำได้) แต่มีคนที่นั่นตลอดเวลาที่สามารถทำอะไรได้มากกว่าผู้ใช้คอมพิวเตอร์ทั่วไป

— RobinJ
แหล่งที่มา

0

คุณมีความเสี่ยงมากขึ้นจากไวรัสบนคอมพิวเตอร์ของคุณที่เข้าถึงไดรฟ์ที่ปลดล็อคหรือแอบดูข้อมูลที่ชัดเจนว่า "กำลังบิน"

— Daniel R Hicks
แหล่งที่มา