理由:ポータブルUSBドライブを使用して、どのマシンやOSでも自分のパスワードにアクセスできるようにしたいのです。 TrueCryptは、すべての主要なプラットフォームで十分なサポートを提供する唯一のプログラムのようです。そのため、ドライブに保存されているTrueCryptコンテナーの非表示のボリュームに、プレーンな.txtファイルでパスワードを保存するので、どのマシンからでも確実にアクセスできます。
私の質問は、私のパスワードを保存するのに十分な(妥当な)セキュリティですか?または、より多くの暗号化レイヤーを使用する必要がありますか?ドライブを紛失した場合、パスワードに簡単にアクセスできますか?
(マシンの「マスター」パスワードにキーログを記録する明らかな試みは別として、ドライブを使用するすべてのマシンがクリーンであると仮定しましょう)
暗号化が実現するのと同じくらい良いです。 TrueCryptは、ディスク暗号化のためのよく吟味された、尊敬されるソフトウェアです。人生の保証はありませんが、TrueCryptは今日の性能とほぼ同じです。
残っている主なリスクは、誰かがTrueCryptの暗号解読の弱点を見つけ、TrueCryptの暗号化アルゴリズムを破るということではありません。むしろ、主な残りのリスクは次のとおりです。
TrueCryptには不適切なパスフレーズを選択します。防御:TrueCryptには長く強力なパスフレーズを選択してください。
使用しているマシンの1つにマルウェアが含まれています。マルウェアに感染しているマシンにTrueCryptパスフレーズを入力すると、安全であると期待する理由がなくなります。では、マシンにマルウェアが含まれていないと思われますか?
(暗号化の層を増やしても、これらのリスクに対して何も起こりません。)
簡単に言えば、マシンにマルウェアがないと思われる場合は、このアプローチで十分安全です。
追伸ドライブを紛失し、バックアップがない場合は、運が悪くなります。したがって、ファイルのバックアップを別の場所に保管してください。安全な場所に保管した印刷物、ドライブの別のコピー、暗号化されたもの、または完全に別の場所など。
同様の問題があり、USBスティック上のデータをポータブルな方法で暗号化する方法が必要でした。
まず、これらの暗号化されたUSBスティックの1つを購入することを考えました。 2つのタイプがあります。ソフトウェアアプリに依存するものと、物理的な南京錠を持つものがあります。これらはWindows専用であり、ソフトウェアが安全でハッキングされていないこと、またはバックドアが付属していること、または「電話の家」でさえないことを100%確信できないため、ソフトウェアオプションを破棄しました。一部のユーザーがデータの損失を報告し、ドライブを時々フォーマットする必要があったため、南京錠も破棄しました。また、私は南京錠が使用中に壊れないことを信頼できません。
現在、TrueCryptを使用して、通常のUSBスティックにコンテナーファイルベースのボリュームを暗号化しています。しかし、TrueCryptには管理者権限が必要なため、これは完全にポータブルなソリューションではありません(したがって、インターネットカフェに行ったり、パブリックターミナルを使用しようとすると、機能しません)。一方、これらのボリュームは自動的にマウントするように構成でき(これは良いことですが、コンピューターがセキュリティで保護されている場合のみ)、WindowsとLinuxの両方で機能するため、データを自宅から作業。また、TrueCryptはオープンソースであるため、コードを検査して、コードが示すとおりに機能することを確認できます。
アカウントのパスワードを暗号化するには、暗号化もサポートするより標準的なファイル形式(Zipなど)を使用することをお勧めします。これの良い例は、AES-256をサポートし、オープンソースでもある7-Zipです。長所:暗号化されたファイルと一緒にUSBでポータブル7-Zipバージョンを持ち運び、許可を気にせずに任意のコンピューターで実行できます(完全にポータブルなアプローチです)。短所:Zipコンテナー内のファイルを追加または変更する必要があるたびに、コンテナーファイルを復号化して変更し、すべてを再度暗号化する必要があります。ご覧のとおり、暗号化されていない一時的なZipをファイルシュレッドすることを忘れない限り、誰でも復元できます。だから、はい、それは良いアプローチですが、あなたが何をしているか知っているならば、読み取り専用ファイルのためにです。
将来的には、デスクトップとモバイルの両方のバージョンで、おそらく独自のドロップボックスのようなソリューションをコーディングするでしょう。
TrueCryptファイルコンテナー(Win、Linux、Mac)を使用するか、強力なパスワードで暗号化されたディスクイメージ(Mac)を使用します。ログインごとに1つのテキストファイルを保存します。たとえば、My Bank.txt、Amazon.com.txt、Facebook.txt。
利点は、ログインを表示しているときにクラッシュが発生した場合、開いているファイルのみがディスクにダンプされ、たくさんのテキストファイルがないことです。
攻撃者がTruecryptパスワードを回復する別の方法(コンピューターへの物理的なアクセス、および最近マウントされたボリュームが必要):RAM電源をオフにした後、パスワードを回復する。RAMは、適切な物理的条件で数分またはそれ以上の情報を保持できます。
たとえば、 暗号化キーへのコールドブート攻撃
考慮すべき1つのことは、情報がどのように漏洩するかです。
検索インデックス作成でファイルが見つかると、パスワードが検索インデックスに保存される可能性があります。または、使用するテキストエディタに、開いたファイルの一時的なバージョンが保存される場合があります。または、ウイルススキャナーが開いているファイルをスキャンし、それに関する情報を保存している可能性があります。または、OSが最近開いたファイルに関する情報を保存するのを好むかもしれません。または、パスワードが表示されている間に、一部の活動監視ソフトウェアがスクリーンショットを撮る場合があります。または、Chrisが述べたように、クラッシュによってデータがディスクにダンプされる場合があります。
休止状態にしたり、ハイブリッドスリープを使用したりすると、パスワードが暗号化されずに休止状態ファイルに書き込まれる可能性が高くなります。
参考までに、ブルートフォーサーはすでに存在します http://securityvision.ch/project_tcbrute.php 、100%安全なものはありません。もちろん、パスワードをポップアップするだけではありませんが、そのようなツールの存在は、これらのタイプの攻撃に巨大なコンピューティングパワーを展開するためのクラウドサービスにスペースを開きます。これもチェックしてください: https://www.wpacracker.com/index.html
truecryptは優れたディスク暗号化ツールであり、長年のファンです。完全に使用することをお勧めします。ハードウェアが十分に高速であれば、Serpent-AESなどのいくつかの暗号の組み合わせを選択して、セキュリティを強化できます。標準のAESが適しています。ハッシュアルゴリズムについては、SHA-512をお勧めします。