このシナリオでどれほど簡単にtruecryptとEFSが解読される可能性があるか
過去数か月の間に私のラップトップからいくつかの情報が差し引かれたと思います。したがって、私は自分のデータを暗号化する方法を探しています。機密ファイルフォルダーとそのパーティション内のファイルのEFSにtruecryptを使用してみます。私は専門家ではないので、これを簡単に解読できるかどうか疑問に思っています。
コンテキストはオフィスの作業環境であり、一部の同僚は私のラップトップから貴重な個人情報をコピーすることをいとわない(そして待っている)。私たちは通常、テーブルが1つしかない同じ「会議室」で作業するため、ラップトップへの物理的なアクセスは簡単です。セキュリティチェックインのため、ラップトップを盗む可能性は低いです。保護されたデータフォルダーを持つ真の暗号ボリュームは、通常、その部屋にいるときにマウントされます。
ローカルとリモートの方法を組み合わせた計画的攻撃は、非常に可能性が高いです。これは、後で情報を盗むためにラップトップに物理的にアクセスできるトロイの木馬/キーロガーをインストールすることです。
-弱点:共有ルームを離れるたびにWindows画面をロックしようとすると、忘れてしまうこともあります(たとえば、急いで外で何かをして後で病気になってしまった場合など)。また、スクリーンセーバーを5分間操作しないとWindowsアカウントをロックするように設定したとしても、部屋を出た後も攻撃者はパッドマウスを動かしてアクティブに保つことができます。ウイルス対策ソフトウェアをインストールしていますが、ご存知のように十分でない場合があります。
攻撃者がラップトップを持って精神的に一人で攻撃を行う時間は、約3〜5分です。
可能な攻撃は次のようになります。
- 私は部屋を出て、アカウントはブロックされていません。攻撃者は機会を見て、トロイの木馬/キーロガーをインストールします。
- windowsアカウントのパスワードが取得されます。
- hibersysファイルは、後で攻撃者のサーバーとターゲットフォルダーにアップロードされます。
- ファイルは何らかのツールで復号化されます。 (elcomsoftのように) http://blog.crackpassword.com/2012/12/elcomsoft-decrypts-bitlocker-pgp-and-truecrypt-containers/ それは簡単でしょうか?ここで何か不足していますか?病気は心配すべきですか?
そして、これを避けるために何をお勧めしますか?
前もって感謝します。
PDTA:最初の事件の後、私はハードドライブをフォーマットしましたが、休暇以来オフィスにいません。私は来週帰ります。
攻撃者の物理的な存在は、防御するのが最も困難です。一部の製品は、「物理的な存在」を所有の印と見なし、マシンの前にいる人に完全な権利を許可します。たとえば、パスワードを忘れたユーザーをロックアウトしないようにBIOSパスワードをリセットできるマザーボード。
EFS + TrueCryptソリューションは優れていますが、パスワードのセキュリティに依存します。データは安全に暗号化されますが、パスワードは傍受から保護されません。キーロギングはパスワードを傍受する簡単な方法ですが、ほとんどの既知のキーロガーはアンチウイルスによって検出されます。攻撃者は、TrueCryptのようなプログラムをコンピューター上で実行し、パスワードを攻撃者に送信する可能性があります。
悪意のある環境でコンピューターのロックを解除したままにすると、プライバシーとセキュリティを期待できなくなります。事後の侵入を検知して妨害できることを100%確実にする方法はありません。コンピュータをロックするのは非常に簡単で、それをしないように習慣をつけるべきです。 Windows key + Lを押すとWindowsがロックされ、CTRL + ALT + Lを押すとほとんどのLinuxデスクトップ環境がロックされます。
Windows Vista以降のEFSはpagafile.sysを暗号化しますが、TrueCryptキーの抽出に使用できるhyberfil.sysは暗号化しません。
Microsoftは、休止状態とシャットダウンを処理するための適切なAPIを提供していません。システムの暗号化に使用されるマスターキーは、RAM)から確実に消去することはできません(コンピューターが休止状態になる、シャットダウンまたは再起動された場合)。
TrueCryptフルディスク暗号化を使用して、すべてのハードドライブを暗号化します。
TrueCryptフルディスク暗号化の弱点の1つは、攻撃者が物理的に複数回アクセスできる場合です。攻撃はEvil Maidという名前で行われ、 [〜#〜] tpm [〜#〜] 。基本的に、攻撃者はTrueCryptのパスワードチェックコードを変更して、入力したパスワードをクリアテキストで保存し、後で取得できるようにします。他のフルディスク暗号化製品についても同様です。ラップトップで提供されている場合は、TPM機能を使用します。ラップトップを自宅に持って行くか、Truecryptが提供できる以上のセキュリティが必要な場合は、キーでロックします。
更新:
コンピュータを自動的にロックするための独創的な解決策の1つは、次のプログラムを使用することです http://stevetarzia.com/sonar/ 。エコーを使用して、コンピューターの前にいなくても「見る」ことができます。
ウェブカメラを使用して同様のソリューションがあります。 https://www.keylemon.com/product/
@CristianDobreが書いたすべてのことに同意します。あなたは、Truecryptが解決することができない、非常に困難なセキュリティ状況を手にしています。同僚がマシンに無制限にアクセスでき、悪意がある場合、パスワードを読み取られる可能性があるため、マシンまたはマシン上の情報を保護できません。ドライブがマウントされた状態でtruecryptを実行しているときに、攻撃者がマシンをハッキングしてログインし、ドライブにアクセスする可能性があります。または、ドライブ文字へのアクセスを探してスケジュールに従って実行され、アクセスが可能になり次第、すべてコピーする簡単なpowershellスクリプトを作成することもできます。
私のアドバイスは、USBスティックまたはハードドライブに強化されたLinux仮想マシンをセットアップし、部屋にいる間に実行することです。あなたはそれを一時停止し、あなたと一緒にそれを持っているメディアを取り除く必要がありますあなたが部屋を出るたびに。すべての作業を行い、すべてのデータをtruecrypt暗号化ボリュームに保存します。truecryptはマシンではなく仮想OSで実行します。キーをクリックするグラフィックである仮想キーボードを使用してパスワードを入力し、物理マシンにインストールされているキーロガーを無効にします。そのUSBスティックが物理的な存在を1分でも離れないようにし、別のコンピューターを使用して仮想マシンのパスワードを毎晩変更しないでください。これらすべての対策を実行することは王室の苦痛ですが、状況がこれほど悪く、本当にそのデータを保護する必要がある場合は、規律を守る必要があります。
また、職場のコンピューターで毎日パスワードを変更することも理にかなっています。それらを停止することはできませんが、少なくともそれらを遅くする可能性があります。
休止状態を無効にして、FireWireドライバーをシステムから削除することが解決策ではない理由がわかりません。上記にリンクされた記事が示唆するように、firewireメソッドを回避する方法は、ドライバーを削除することです。第二。復号化プログラムがハイバネーションファイルからキーを削除するのを私たちは聞き続けます。いいねレジストリキーを使用して無効にします。これで安全になりますか?