TrueCrypt: un keyfile di password multiple

5

È possibile creare un file di chiavi che apre un volume di Truecrypt e questo file di chiavi è protetto (codice di crittografia aes) con una password?

Il caso d'uso è un vero volume di cripta accessibile da più persone. Mi piacerebbe distribuire una chiave master sotto forma di file di chiavi con un'alta entropia per prevenire la forzatura bruta se il volume arriva nelle mani di una persona malintenzionata. Questo file di chiavi è distribuito su un token USB in cui dovrebbe essere crittografato con la loro password personale.

    
posta testdata 22.04.2013 - 16:58
fonte

1 risposta

2

Ciò che hai descritto funzionerà perfettamente e suggerirei di utilizzare nuovamente TrueCrypt per crittografare il file di chiavi, dato che tutti i partecipanti sanno già come usarlo. Crea semplicemente una partizione TrueCrypt sul dispositivo USB e inserisci il file chiave non crittografato in quella partizione.

In questo modo ha anche il vantaggio che è impossibile per un utente lasciare accidentalmente il file chiave non crittografato. Se si dovesse utilizzare la crittografia dei file come openssl per crittografare e decrittografare il file di chiavi, sarebbe possibile che qualcuno dimenticasse di ricodificare il file di chiavi una volta che ha finito di usarlo. L'utilizzo di una partizione crittografata tramite TrueCrypt significa che ciò non è possibile, il che è positivo.

Lo svantaggio è che hai più copie del tuo file di chiavi sparse per il posto. Alcuni utenti potrebbero pensare che collegare l'USB, inserire la propria password personale e accedere al file di chiavi ogni volta che vogliono accedere alla partizione TrueCrypt condivisa è una seccatura, e non c'è nulla che impedisca loro di copiare non crittografato keyfile sul loro disco locale, per comodità, che interrompe la crittografia per tutti.

Stai anche facendo affidamento sulla forza della password personale più debole, che con un numero elevato di utenti è probabilmente molto debole.

Hai anche il problema di revocare l'accesso: è difficile rimuovere una persona dalla "cerchia di fiducia" perché tutti conoscono la stessa chiave. Dovresti ridistribuire / sostituire la partizione TrueCrypt con una nuova chiave master e aggiornare i file di chiavi di tutti in modo che corrispondano.

LUKS risolve molti di questi problemi consentendo a più password di sbloccare lo stesso disco. Se le autorizzazioni sono configurate correttamente, è impossibile per un utente ottenere la chiave master per un disco, anche se quell'utente conosce una password valida per quel disco. Ciò semplifica la revoca degli accessi.

    
risposta data 22.04.2013 - 19:10
fonte

Leggi altre domande sui tag