web-dev-qa-db-ja.com

Veracryptはいつ受け入れられるソリューションですか?

セキュリティリスクを効果的に管理するために、非営利組織には次の高レベルの要件があります。

  • 承認されたスタッフへのアクセスを制限します。
  • 機密データには、許可されたスタッフのみがアクセスできます。
  • データの整合性を維持する必要があります。
  • データへのアクセスは監査可能でなければなりません。

多くのスタッフがオフサイトで作業するため、データは使用中のデバイスと、DVDやUSBスティック/ドライブなどのメディアの両方に安全に保存することが重要です。

従来、デバイスはTrueCryptフルディスク暗号化を使用してきました。デバイスが廃止および更新(寄付)されると、デバイスを保護するための選択とソリューションを通知する機会があります。

スタッフは、Microsoft Windows 10とOpenSUSEに移行します。予算上の理由から、Windows 10デバイスの展開は制限されています。すべてのデバイスがTPMをサポートしているわけではありません。約50台のデバイスがあり、そのほとんどがWindows以外です。さらに、Microsoft WindowsのエディションはHomeまたはProfessionalのいずれかになります。

Veracryptに加えて、Microsoft BitlockerとLUKSを使用するオプションがあります。オンラインで調査する場合( フルディスクオプション など)、オプションが最適なユースケースを明確に示していないようです。

例えば;

  1. Veracryptはリムーバブルメディアの暗号化に限定する必要がありますか?
  2. LUKSはいつ検討すべきですか?
1
Motivated

LUKS2は 認証された暗号化 で使用する必要があります。次のコマンドを実行して、デバイスをフォーマットできます。

cryptsetup luksFormat --type luks2 $dev --cipher chacha20-random --integrity poly1305

データの整合性が要件であると指定しました。その場合、完全な整合性を提供しないため、VeraCryptを使用しないでください。これは、XTSと呼ばれる操作モードを使用します。これは それ自体は素晴らしいものではありません です。これは 可鍛性 でもあります。つまり、誰かがキーを知らなくても暗号文を変更することで平文を変更できます。ただし、ランダム化できるのは16バイトのデータチャンクのみです。つまり、暗号文の1ビットを変更すると、VeraCryptに気付かれずに16バイトの平文がランダム化されます。認証された暗号化でLUKS2を使用すると、この問題が軽減され、整合性が保護されます。

VeraCryptにはLUKSにはないユースケースがありますか?承知しました。 VeraCryptはLUKSよりもWindowsでの作業が簡単ですが、最大の利点は もっともらしい否認性 です。外部に暗号化されたドライブがあり、誰かがパスワードの開示を要求している場合、VeraCryptを使用すると、ドライブがワイプされており、暗号化されたデータが含まれていないと主張できます。 LUKSを使用する場合、LUKSであることを指定するヘッダーが含まれているため、これは不可能です。 VeraCryptには、 隠されたボリューム をサポートするという追加の利点もあります。これは、特定の抑圧的レジームで役立ちます。

もっともらしい否認可能性と隠しボリュームは、ソリッドステートメディアでは効果的に機能しない可能性があることに注意してください。

1
forest