Ho intenzione di archiviare i miei file sensibili nel cloud. Non mi fido della memoria di file crittografata end-to-end già creata. Mi fido solo di TrueCrypt. Supponendo che TrueCrypt sia sicuro, sarebbe sicuro utilizzare DropBox per sincronizzare in tempo reale il file contenitore. In questo caso DropBox avrà qualche piccola modifica a questo file nelle loro mani. Questo influenzerebbe la sicurezza?
NO , non è sicuro. TrueCrypt utilizza la modalità di blocco XTS per la crittografia, che presenta gravi problemi quando il tuo avversario è in grado di vedere le istantanee nel tempo di come i dati cambiano. Infatti, un articolo chiamato You Do not Want XTS , destinato a gli sviluppatori di software apprendono quando possono e non possono usare XTS, in particolare usano Dropbox come esempio di quando NON usare XTS. Non sarebbe la fine del mondo, con conseguente divulgazione della password o qualcosa del genere, ma fa uscire il peggio in XTS.
Per citare l'articolo:
Again: XTS works like ECB. It’s deterministic. If you’re looking for the penguins, they’re there, but you have to look for them across time instead of space: successive writes to the same sector-block location will repeat, but encryptions of the same plaintext at different locations will be randomized.
Ciò significa che l'hosting su Dropbox che vedrà cambiamenti nel tempo "vedrà i pinguini". Ciò rende anche estremamente semplice manomettere i dati in modi prevedibili. Anche se XTS non ha gli stessi problemi di malleabilità come, ad esempio, CBC o CTR, ne ha ancora alcuni, offrendo loro capacità molto maggiori di qualsiasi altro attaccante:
But whatever margin of safety XTS gets you on physical media probably goes out the window when you stick a Truecrypt volume on Dropbox. From the vantage point of Dropbox, attackers have far more capabilities than the XTS designers planned for.
Se hai bisogno di ospitare dati crittografati su un server remoto, ti consigliamo di esaminare duplicità , che supporta infatti Dropbox in modo nativo . Fornisce crittografia sul lato client, è molto veloce, utilizza backup incrementali e revisionati e firma tutti i trasferimenti. Ciò rende così, non solo la manomissione è impossibile, ma qualsiasi modifica dei dati sul server è sotto forma di dati aggiunti, ad eccezione delle operazioni di pulizia. È uno strumento molto utile per la sincronizzazione con i server remoti.
Sono deluso dal fatto che ci siano già due risposte che affermano che questo è corretto, senza alcun background in crittografia, supponendo che siccome TrueCrypt fornisce riservatezza, dovrebbe essere perfettamente corretto sincronizzare TrueCrypt in. Stanno dando consigli pericolosamente sbagliati.
Se TrueCrypt è sicuro, è sicuro anche su Dropbox se si utilizza una password complessa per la crittografia. Tuttavia, poiché TrueCrypt esegue la crittografia in un contenitore e non è in grado di crittografare singoli file, la sincronizzazione dei file potrebbe richiedere molto tempo.
No, non influenzerebbe la sicurezza.
Qualsiasi frammento di file trasferito / sincronizzato viene crittografato da TC, quindi non vi è alcuna differenza tra l'utilizzo di quel tipo di sincronizzazione e la semplice copia del file contenitore da qualche parte.
Quindi sì, è sicuro.