web-dev-qa-db-ja.com

TrueCrypt VS LUKSブルートフォースレジリエンス

私はLUKSとTrueCryptのトピックを調査してきました-私の唯一の関心事はセキュリティですが、私が見る議論のほとんどはユーザビリティ/相互運用性に焦点を当てています。

TrueCryptにはニースパスフレーズ機能がたくさんあります-低速ハッシュアルゴリズム、数千回の反復、複数のキーファイルのオプションなど。これらの機能は、暗号化されたデータの秘密鍵のセキュリティが非常に強力であると感じさせます。しかし、私はこの点でLUKSが何をするか知りません。 TrueCryptでは、パスフレーズを "abc"にすると、最終的な暗号化キーが "abc"にならないことがわかります。これは、低速ハッシュの結果です。ただし、LUKSを使用すると、パスフレーズが "abc"の場合、キーはどのようになりますか。 」.

(これは架空の例です。3文字のパスフレーズを使用するつもりはありません...要点を説明する必要があります-弱いパスフレーズについてはここでは説明しないでください。すべてについて知っています。パスフレーズ、LUKS、またはTrueCryptの文字数。)

また、TrueCryptには、さまざまなアルゴリズムとさまざまなキーを使用した多層暗号化など、他の機能も用意されています。それは本当に良い方法のように聞こえますが、LUKSにはこのようなオプションがありますか? OS(MINT)をインストールすると、暗号化するチェックボックスオプションが[はい]または[いいえ]のみになります。インストール時に他の設定オプションが表示されません。デフォルトは何ですか?

ここでの私の最大の関心事は、TrueCryptについて少し知っており、セキュリティの欲求に関してTrueCryptがどのように機能するかはわかっていますが、LUKSの動作がわからないということです。 LUKSが標準でマルチレイヤー暗号化または低速ハッシュを提供していないとしましょう。このポストインストールを有効にする方法はありますか? LUKSの設定を既存の弱いインストールから、私にとって魅力的なTrueCryptの機能に適したより強いインストールに変更するには、何が必要ですか?

繰り返しますが、ユーザビリティについての議論はしたくありません。はい、「使い勝手が悪いとセキュリティが悪い」という話を聞いたことがありますが、この場合、データの機密性がそれほど高くなくても、国の資金で地球外のハッカーから隠す必要があります。この練習環境を考えて、最も厳格で最も安全なセットアップを自分自身に教えてください。ユーザビリティ関連のセキュリティの弱点(ヒューマンエラー)に苦しんでいる場合、私はそのような間違いから学ぶことになります。

入力をありがとう、それは常に非常に感謝しています。

4

あなたが探している答えは Cryptsetup documentation にありますが、要約すると:

  1. LUKSはPBKDF2を使用してパスワードから「スロットキー」を導出します。デフォルトの反復回数は、LUKSボリュームを作成したコンピューターで1秒かかるのに十分です。
  2. この「スロットキー」は、データの暗号化に使用されるキーとは無関係です。ボリュームマスターキーのコピーを復号化するためにのみ使用され、その後、データの暗号化/復号化に使用されます。
  3. ボリュームのロックを解除するために、最大8つの異なるパスワードを設定できます。
  4. 各スロットキーは、独自の派生機能を持つことができます。 PBKDF2の1秒がニーズに合わない場合は、異なるパラメーターで新しいパスワードを追加し、古いパスワードを消去できます。
  5. 作成後のLUKSボリュームの暗号化の変更はサポートされていません。
  6. コマンドラインからLUKSボリュームを作成する場合、使用する暗号を指定できます。デフォルトは「aes-xts-plain64」(ハッシュ機能なしのXTSモードでのAES-128暗号化)です。 LUKSは階層化暗号化アルゴリズムをサポートしていません。
  7. LUKSはTruecryptのように隠しボリュームをサポートしていませんが、すべての人とその犬がTruecryptの隠しボリュームのサポートを知っているとすると、これらの「隠し」ボリュームは、現実の世界ではまったく秘密と見なされません(情報とは対照的) -理論的)感覚。
6
Mark

TrueCryptで暗号化されたディスクは、ランダムなデータのように見えます。ヘッダーはなく、すべて暗号化されています。データが含まれていることを証明することはできません。

LUKSにはヘッダーがあり、ディスクにLUKS暗号化データが含まれていることは簡単に証明できます。警察があなたのラップトップを英国の国境で押収し、それがLUKSパーティションを含んでいるのを彼らが見た場合、あなたがパスワードを明らかにするまで彼らは刑務所にあなたを拘束することができます。 TrueCryptで暗号化されたパーティションがある場合、安全に削除されたと主張できます-少なくとも交渉はより簡単でしょう。

TrueCryptは死のプロジェクトです。検証が難しい大きなコードです。ただし、代わりのものがあります。

https://wiki.archlinux.org/index.php/Tcplay

tcplayには非常に短いコードがあります。 TrueCryptイメージをマウントして作成できます。私は自分で監査を行い、安全だと主張できます:-)。

1
smrt28