TrueCrypt VS LUKS Resistenza bruteforce

4

Ho svolto ricerche su argomenti LUKS vs TrueCrypt - la mia unica preoccupazione è la sicurezza, ma la maggior parte delle discussioni che vedo riguardano l'usabilità / l'interoperabilità.

So che TrueCrypt ha un sacco di belle caratteristiche della passphrase - algoritmo di hashing lento, migliaia di iterazioni, opzioni per più file di chiavi, ecc. Queste caratteristiche mi fanno sentire che la sicurezza della chiave segreta dei dati crittografati è piuttosto strong. Ma non so cosa fa LUKS in questo senso. So che in TrueCrypt se faccio il mio passphrase "abc" la chiave di crittografia finale non sarà "abc" sarà il risultato di qualche hash lento - ma se uso LUKS quale sarà la mia chiave se la passphrase è "abc ".

(Questo è un esempio ipotetico, non intendo usare una passphrase di tre caratteri ... Devo solo dimostrare il mio punto di vista - per favore non discutere di deboli passphrase qui, so tutto di questo, suppongo che lo farò usa la quantità massima di caratteri per ogni passphrase, LUKS o TrueCrypt.)

Inoltre, so che TrueCrypt offre altre funzionalità, come la crittografia multilivello con diversi algoritmi e chiavi diverse. Sembra una buona misura, LUKS ha qualche opzione come questa? Quando installo il sistema operativo (MINT), ho solo un'opzione di casella di controllo sì o no da crittografare. Non vedo altre opzioni di configurazione durante l'installazione. Quali sono le impostazioni predefinite?

La mia preoccupazione principale qui è che mentre conosco un po 'di TrueCrypt e come funziona rispetto ai miei desideri di sicurezza, non ho idea di come si comporta LUKS. Diciamo che LUKS out of the box non offre crittografia multilivello o hashing lento, c'è un modo per abilitare questa post-installazione? Che cosa comporta cambiare le configurazioni LUKS da un'installazione più debole esistente a una più strong rispetto alle caratteristiche di TrueCrypt che mi piacciono?

Per reiterare, non voglio una discussione sull'usabilità. Sì, ho sentito la discussione su "scarsa usabilità è scarsa sicurezza", ma in questo caso, anche se i miei dati non sono così sensibili, deve essere nascosto agli hacker extra-terrestri con finanziamenti statali. Considera questo un ambiente di pratica per insegnarmi il setup più rigoroso e più sicuro. Se subisco una debolezza della sicurezza legata all'usabilità (errore umano), allora devo imparare da un simile errore.

Grazie per l'input, è sempre molto apprezzato.

    
posta Radmilla Mustafa 05.12.2014 - 19:13
fonte

2 risposte

6

Le risposte che stai cercando possono essere trovate nella documentazione di Cryptsetup , ma per riassumere:

  1. LUKS utilizza PBKDF2 per ricavare una "chiave di slot" dalla tua password, con un conteggio di iterazione predefinito sufficiente per un secondo sul computer che ha creato il volume LUKS.
  2. Questo "tasto slot" non è correlato alla chiave utilizzata per crittografare i dati. Viene utilizzato solo per decrittografare una copia della chiave master del volume, che viene quindi utilizzata per crittografare / decrittografare i dati.
  3. Puoi avere fino a otto password diverse per sbloccare il volume.
  4. Ogni chiave dello slot può avere una propria funzione di derivazione. Se trovi che un secondo di PBKDF2 non soddisfa le tue esigenze, puoi aggiungere una nuova password con parametri diversi e cancellare quella vecchia.
  5. Non è disponibile alcun supporto per la modifica della crittografia su un volume LUKS dopo la sua creazione.
  6. Quando si crea un volume LUKS dalla riga di comando, è possibile specificare il codice utilizzato. L'impostazione predefinita è "aes-xts-plain64" (crittografia AES-128 in modalità XTS senza funzione hash). LUKS non supporta gli algoritmi di crittografia a strati.
  7. LUKS non supporta i volumi nascosti come fa TrueCrypt, ma dato che tutti e il loro cane conoscono il supporto del volume nascosto di Truecrypt, questi volumi "nascosti" non possono essere considerati del tutto segreti nel mondo reale (al contrario al senso dell'informazione-teorico.
risposta data 05.12.2014 - 21:42
fonte
1

Il disco crittografato da TrueCrypt ha l'aspetto di dati casuali. Non ha intestazione, tutto è criptato. Nessuno può nemmeno provare che contenga dati.

LUKS ha un'intestazione e può essere provato facilmente che il disco contiene dati crittografati LUKS. Se la polizia ha confiscato il tuo laptop sui confini del Regno Unito e ha visto che contiene la partizione LUKS, potrebbe tenerti in prigione finché non rivelerai la password. Se avessi la partizione crittografata da TrueCrypt puoi richiedere che sia stata cancellata in modo sicuro, almeno la negoziazione sarebbe stata più semplice.

TrueCrypt è un progetto di morte. È un grosso pezzo di codice difficile da verificare. Tuttavia, c'è una sostituzione:

link

tcplay ha un codice molto corto. Può montare e creare immagini TrueCrypt. Ho fatto un audit da solo e posso affermare che è sicuro :-).

    
risposta data 04.10.2015 - 20:09
fonte

Leggi altre domande sui tag