La crittografia del disco richiede all'host di conservare o derivare una chiave master che è conservata da qualche parte in memoria, quindi questo è il tuo problema più grande. Ho implementato aspetti del prodotto SafeNet ProtectFile e altri stack di smart card, quindi sono intimamente consapevole delle sfide.
Non pensare per un minuto che tu abbia una vera sicurezza. Esistono "dispositivi forensi digitali" che eseguono un'istantanea e analizzano la memoria di sistema semplicemente collegando una chiavetta USB alla porta di un dispositivo, sfruttando "bug" dell'hardware USB. I banchi sono stati conosciuti per rimuovere o aryldyte porte USB su workstation a causa di questi problemi noti. È quasi banale acquisire la chiave di crittografia del disco dalla memoria e quindi decrittografare un disco rigido con gli strumenti disponibili. Questo è un aspetto di come le forze dell'ordine sono in grado di raccogliere prove e assicurare i criminali alla giustizia.
Per il tuo caso d'uso particolare, nulla è più sicuro di quello che puoi tenere in testa.
Quindi è una questione se pensi che il tuo cervello abbia maggiori probabilità di perdere informazioni rispetto a qualche pezzo di tecnologia.
Vorrei usare una lunga frase priva di significato e cambiarla periodicamente in base al tuo livello di paranoia. Le frasi di passaggio pronunce sono più facili da ricordare e, se si utilizza un tempo sufficientemente lungo, si ha una sicurezza migliore di quella che qualsiasi dispositivo (incluse le smartcard) può fornire in questa istanza. Includo la disponibilità come dimensione della sicurezza e per uso personale preferisco le caratteristiche di disponibilità della mia persona più che il flash che potrebbe essere acquisito se sono incapace. Le aziende possono preferire un modello alternativo che non si basi su wet-ware per essere vivo e funzionante per mantenere la disponibilità.
I protocolli di messaggistica con smart card non possono impedire un attacco MITM tra il chip della scheda e il computer host senza un segreto pre-concordato (questo è distinto dal PIN della carta e viene effettivamente utilizzato per proteggere il flusso di messaggi tra la scheda e l'host / computer) e ci sono molti modi surrettizi per intercettare l'USB. L'impostazione di questo segreto su tutte le schede da utilizzare su tutte le macchine / workstation rappresenta un reale incubo della configurazione nelle distribuzioni aziendali, pertanto raramente viene eseguita e vengono utilizzate chiavi ben note incorporate nello stack di smart card. Anche se ti sei messo nei guai, ora hai un segreto installato dappertutto, quindi è quasi impossibile. Per questo caso d'uso, una smartcard è semplicemente a mano e, in realtà, non è migliore della semplice digitazione su una tastiera, ma può fallire più facilmente o essere "persa" / "rubata".
Quindi dato che una smartcard non può darti più della sicurezza a livello di tastiera in questo particolare caso d'uso, utilizzerei una lunga pass-phrase o prendere in considerazione una penna flash di sola lettura contenente una grande porzione di dati casuali con una passphrase / password e assicurati di mantenere un backup offline sicuro di quel flash cinese economico!