Best practice per la combinazione TrueCrypt + Yubikey

4

Sto cercando di trovare un modo sicuro e conveniente per crittografare il mio disco esterno con TrueCrypt. Attualmente uso una password strong di 50 caratteri, ma sono stanco di doverlo digitare ogni volta. Ho un Yubikey e diverse chiavette USB che posso dedicare a questo compito, quindi penso di poter sfruttare l'autenticazione a due fattori. Ho elencato un paio di soluzioni e la migliore che potrei inventare è qui sotto. Prima di fare qualsiasi cosa ho deciso di ottenere qualche parere esperto.

L'ideea sta usando Yubikey con una password strong statica. Questo sarà qualcosa che ho. Inoltre sto progettando di utilizzare file di chiavi memorizzati in una memory stick USB. L'USB non sarà crittografato ma ci saranno centinaia di piccoli file. E userò una piccola combinazione di essi. Quindi questo sarà anche qualcosa che ho ma la combinazione sarà qualcosa che conosco. Quindi, anche se qualcuno riesce a impossessarsi di entrambi gli oggetti, non sarà in grado di montare senza la combinazione. Dì se ho 100 file su disco e io uso 3 file, ci saranno 161700 combinazioni.

Dal punto di vista della convenienza, dovrò collegare entrambi i dispositivi. Tocca Yubikey una volta e seleziona i file di chiavi. Ancora non sembra molto veloce e facile, ma spero che sarà meno doloroso di digitare la password manualmente.

Cosa ne pensi di questo metodo? Cosa vorresti proporre per rendere questo approccio più sicuro o più conveniente (senza renderlo meno sicuro)?

Grazie in anticipo.

    
posta Volkan Paksoy 22.09.2012 - 19:55
fonte

2 risposte

5

Sono 161.700 combinazioni se l'ordine dei file non ha importanza. Se l'ordine dei file è importante, sono 970.200 combinazioni. Ma anche una combinazione di 970,200 non è abbastanza contro un avversario impegnato.

Diciamo che ho il tuo Yubikey e la chiavetta USB ma non conosco la combinazione e voglio forzare la combinazione. La funzione di derivazione della chiave di crittografia TrueCrpyt esegue SHA-512 sulla password un migliaio di volte, quindi per la combinazione 970,200 avrei bisogno di eseguire SHA-512 ~ 1 miliardo di volte, operazione che richiederebbe circa 10 secondi su una GPU di generazione corrente. Non molto difficile.

Se potessi aumentare il numero di file a 10000 e utilizzare 5 file (supponendo che l'ordine dei file sia importante) avrai quasi 10 ^ 20 combinazioni che sono probabilmente abbastanza buone per questo scopo, almeno per il prossimo pochi anni prima che la legge di Moore ti raggiunga.

Anche questo potrebbe non essere abbastanza buono se il tuo avversario è NSA, GCHQ o simili. Quindi potresti voler usare 100.000 file e usarne 6 per un totale complessivo di quasi 10 ^ 30 combinazioni equivalenti a una chiave da 100 bit e probabilmente ha più entropia della tua attuale password di 50 caratteri.

Detto questo non mi è chiaro cosa ottieni reinventando la ruota invece di utilizzare un'autenticazione a due fattori predefinita (o anche autenticazione a tre fattori ).

    
risposta data 25.09.2012 - 00:21
fonte
0

Suggerisco di combinare la lunga e statica password di Yubikey con una breve (in confronto) password che conosci. Aggiungi un file da una penna USB al mix. In questo modo hai bisogno di due elementi (Yubikey e chiavetta USB) con qualcosa che conosci (la password).

    
risposta data 04.03.2014 - 14:18
fonte

Leggi altre domande sui tag