In che modo TrueCrypt è più sicuro della semplice protezione tramite password?

Naviga le tue risposte
1

Non sono affatto interessato alla sicurezza e alla crittografia, sono solo un utente di Truecrypt. Quindi forse è una domanda molto noob, ma non riesco a capirlo.

Quando creo un contenitore Truecrypt, esso crittograferà tutto ciò che contiene. Quando voglio aprire il contenitore, apro TrueCrypt, monto il file e digito la mia password.

Supponiamo che il mio computer sia stato rubato e che il ladro trovi il contenitore e sia abbastanza sicuro da riconoscerlo come un contenitore Truectypt. Tutta la crittografia non mi farà bene, giusto? Perché l'unica cosa che il ladro deve fare è craccare la mia password, aprire TrueCrypt e montare il contenitore.

Quindi, anche se i miei file sono crittografati, sembra esserci un singolo punto di errore: la password (che faccio molto naturalmente).

Ci sono dei difetti nella mia logica?

    
posta Erwin Matijsen 08.08.2014 - 10:08
fonte

3 risposte

3

Sì, la password è ciò che regola l'accesso ai tuoi file. Quindi è il singolo "point of failure" ma è anche quello che ti tiene al sicuro.

Suppose my computer is stolen and the thief finds the container and is savy enough to recognize it as a Truectypt-container. All the encryption will do me no good, right? Because the only thing the thief has to do is crack my password, open up Truecrypt and mount the container.

Quel caso è esattamente ciò che la crittografia è per. Se si utilizza una password complessa e un algoritmo di crittografia decente, l'autore dell'attacco potrebbe decodificare per sempre i propri file. La sicurezza non è mai al 100% ma la misura della sicurezza è determinata da quanto è difficile per un utente malintenzionato ottenere quello che vuole. Migliore è la tua password e i tuoi algoritmi, maggiore è la tua sicurezza (dato che non ci sono difetti del software e che tieni anche la tua password sicura)

Pensaci: non solo un utente malintenzionato potrebbe essere interessato a decifrare i tuoi file, ma potresti anche essere interessato a mantenerne l'accesso. Quindi deve esserci un modo per identificarti che di solito è

  • qualcosa che conosci (una password)
  • qualcosa che hai (una chiave magnetica)
  • qualcosa che sei (scansione dell'iride, impronta digitale, riconoscimento vocale, ecc.)

Puoi combinare questi metodi per rendere più sicuro l'accesso ai tuoi dati, ma in generale, ciò che ti garantisce l'accesso può anche essere mal utilizzato da un utente malintenzionato. Non puoi evitarlo, ma cerca solo di mantenere le tue password e le tue smartcard.

Inoltre, ci sono più possibilità di attaccare uno schema di crittografia, ad es. se si dispone di una backdoor nel software di crittografia o se si sceglie un algoritmo di crittografia debole. Puoi solo cercare di evitarlo nel modo migliore rimanendo informato su questi argomenti. Soprattutto Truecrypt ha avuto alcuni problemi con questi ("ATTENZIONE: l'uso di TrueCrypt non è sicuro in quanto potrebbe contenere problemi di sicurezza non risolti." Vedi: link ).

Quello che potresti essere dopo - dal momento che parli sul fatto che l'attaccante riconosce il file come contenitori di Truecrypt - è quello di nascondere i dati crittografati. Questo è più sulla steganografia che sulla crittografia. Puoi mettere i tuoi dati su una partizione nascosta sul tuo disco rigido o dividerli tra più file dall'aspetto innocente (incorporarli in JPEG o altro). Di solito, nascondere i dati non è altrettanto efficace della crittografia. Se sei veramente paranoico puoi, naturalmente, fare entrambe le cose.

    
risposta data 08.08.2014 - 10:26
fonte
1

Dipende da cosa intendi con protezione password . Suppongo che tu intenda una password per ottenere i privilegi (del sistema operativo), che sono necessari per leggere il file non criptato.

Un filesystem protetto da password che non è crittografato, si basa su un processo in esecuzione, che gestisce l'autorizzazione. Un utente malintenzionato potrebbe facilmente avviare tale sistema in un modo alternativo, ad esempio una chiavetta USB avviabile, oppure estrarre il disco rigido. Quindi il processo non verrà avviato e potrà leggere tutti i file in chiaro.

Con un contenitore Truecrypt crittografato, l'autore dell'attacco può anche avviare il dispositivo, ma ovviamente può vedere solo il contenitore crittografato. Ha bisogno di "brute-force" questo contenitore e con una password complessa non è un compito facile (quasi impossibile).

    
risposta data 08.08.2014 - 10:54
fonte
1

L'assunto chiave (errato) qui è contenuto nell'istruzione,

"... l'unica cosa che il ladro deve fare è craccare la mia password, aprire TrueCrypt e montare il contenitore ..."

A meno che tu non sia un attaccante a livello di stato nazionale (ad esempio "No Such Agency" e le sue controparti estere), penso che troverai cracking di una password TrueCrypt (anche riconoscendo le molte legittime domande su TrueCrypt dopo il suo abbandono dal suo originale sviluppatori), per essere (ahem) "più facile a dirsi che a farsi".

Il fatto è che qualsiasi sistema di crittografia (TrueCrypt incluso) può essere compromesso se non lo usi correttamente (ad esempio se usi qualcosa di stupido come "1234", "password" o "letmein" come password), e un sistema di crittografia che non è stato progettato correttamente (ad esempio le informazioni sulle perdite) può rendere banalmente facile anche a un aggressore moderatamente sofisticato interrompere la crittografia e recuperare la versione "in chiaro" (non crittografata) di i dati che hai memorizzato nel presunto contenitore "protetto".

Detto questo, tuttavia, le prove pubblicamente disponibili suggeriscono che mentre ci sono alcune domande su TrueCrypt, è abbastanza ben implementato in modo da essere un vero S.O.B. per attaccare con successo, se si utilizza una password decente (10 caratteri, con complessità). (Non fidarti della mia parola, controlla uno dei blog legali pertinenti e vedi quanto sono frustrati alcuni malintenzionati su TrueCrypt.)

Un'altra caratteristica chiave che ha - a mio avviso questo è molto importante - è che puoi proteggere ulteriormente la complessità della password di un contenitore TrueCrypt usando "keyfiles", che forniscono una versione primitiva di "qualcosa che tu avere (ad esempio il file di chiavi) e qualcosa che conosci (ad es. la password) ". Assicurati di non archiviare il file chiave in una posizione facilmente accessibile per un utente malintenzionato, tienilo nel cloud o su una chiavetta USB e non sullo stesso disco rigido del luogo in cui si trova il contenitore TrueCrypt.

Infine, nel tuo caso, l'altra cosa che sarei sicuro di fare, non è usare la stessa password per il tuo contenitore TrueCrypt, mentre usi l'autenticazione per l'account che usi, quando accedi al tuo PC. Il punto è che, se qualcuno in qualche modo rompe o infastidisce la password del tuo account (non impossibile da fare, specialmente se stai usando Windows o hai molti "spalla surf" nelle tue vicinanze), non vuoi che vengano contemporaneamente accesso al tuo contenitore "protetto". Vedo che questo sta succedendo molto e mi fa impazzire!

    
risposta data 08.08.2014 - 17:46
fonte

Leggi altre domande sui tag

Come forzare i browser ad accettare tutti gli ulteriori certificati SSL Utilizzo di Diffie-Hellman per verificare il certificato SSL?