Saya kira saya agak paranoid ha ... toh saya mengenkripsi HDD saya dengan truecrypt menggunakan semua karakter ASCII yang dapat dicetak dan kata sandi sepanjang 64 karakter. Ini cukup acak, tentu saja tidak ada kata-kata kamus tetapi masih mungkin untuk menghafal dengan mudah.
Apakah bisa dengan paksa? Masalahnya adalah, saya tahu itu seharusnya aman, tetapi tidak adakah kemungkinan seseorang dapat menebak kata sandi setelah mencoba sebanyak 10 kali?
Tentunya kemungkinan itu ada. Terkadang kilat menyerang seperti yang mereka katakan.
windows
hard-drive
encryption
truecrypt
paranoiabaik
sumber
sumber
Jawaban:
Jawaban singkatnya adalah: TIDAK!
Tidak ada langkah keamanan yang aman sendiri, karena mungkin mengandung bug / kerentanan / dll. Ini mungkin tahan terhadap satu metode (mis. Memaksa kasar) untuk menghindari perlindungan, tetapi mungkin ada kombinasi metode yang mungkin tidak dapat ditangani.
Truecrypt (atau, masih?) Rentan terhadap " Serangan boot dingin ":
Bacaan tambahan tentang " Masalah Keamanan TrueCrypt ".
sumber
Jika Anda memiliki semua karakter ASCII, terus terang, itu masih mungkin - tetapi sangat tidak mungkin.
sumber
Menurut http://howsecureismypassword.net/ , dibutuhkan sekitar 314 trigintillion tahun untuk komputer desktop normal untuk memecahkan kata sandi Anda. Itu beberapa urutan besarnya lebih besar dari waktu yang tersisa dalam keberadaan Semesta . Saya pikir Anda tertutup di bagian brute force.
Hanya untuk bersenang-senang:
sumber
Di tempat kerja, kami menangani enkripsi hard drive setiap hari. Yang benar adalah, jenis enkripsi yang Anda miliki di drive Anda mungkin sangat memadai untuk pengguna rumahan. Saya memiliki perasaan yang sama menjadi paranoid dengan semua data saya, dan truecrypt memuaskan saya.
Namun, enkripsi sejati untuk hard drive harus pada tingkat perangkat keras. Mencari drive Stonewood (Flagstones) di internet. Mereka menawarkan enkripsi perangkat keras penuh dengan maksimal 5 upaya sebelum mengunci, kemudian 5 lagi sebelum benar-benar menghancurkan drive sesuai dengan standar pemerintah.
sumber
Menanggapi "Bisakah itu dipaksakan" :
Ada 95 karakter ASCII yang dapat dicetak (termasuk spasi), jadi ada 95 64 kemungkinan kata sandi 64 karakter. Itu 3,75 x 10 126 , yang merupakan lebih dari 420 bit keamanan. Sebagai perbandingan, 128-bit dianggap aman dari pemaksaan kasar untuk kunci AES, dan 265-bit cukup untuk menetapkan nilai yang berbeda untuk setiap atom di alam semesta yang terlihat.
Dengan asumsi musuh Anda memiliki botnet 10 miliar komputer (1000x lebih besar dari botnet terbesar yang diketahui), yang masing-masing dapat memeriksa 1 miliar kata sandi per detik, waktu yang diharapkan untuk menemukan kata sandi Anda dengan brute-force adalah 5,87 x 10 51 tahun - itu 45 triliun triliun triliun kali usia alam semesta.
Jadi ya, kata sandi Anda benar-benar aman dari kekerasan. Bahkan, dengan anggapan Anda menggunakan AES-256, kata sandi 64-karakter Anda tidak memberi Anda keamanan ekstra atas kata sandi 39-karakter, karena setelah titik itu akan lebih cepat untuk hanya menekan tombol dengan kasar.
sumber
Jika kata sandi Anda cukup acak, seperti yang dijelaskan BlueRaja, Anda cukup aman dari serangan brute-force.
Namun, ada pendekatan yang sedikit lebih kuat, dan tentu saja kurang menyakitkan, yang mungkin tersedia untuk Anda (saya katakan "boleh" karena saya tidak cukup akrab dengan TrueCrypt; Saya menggunakan pendekatan ini dengan drive LUKS / AES-256). Buka kunci drive dengan kunci pribadi . Simpan kunci itu di drive USB. Kunci kunci itu dengan frasa sandi (tidak harus terlalu rumit) dan Anda secara efektif menggunakan Nirvana dua faktor.
Untuk yang benar - benar paranoid , ada vektor serangan selain serangan boot dingin:
Serangan sektor boot yang gigih . Sebagai contoh:
Orang jahat, yang memiliki akses fisik ke mesin Anda, dapat mengganti boot loader TrueCrypt dengan yang jahat. Ini akan terlihat dan bertindak cukup seperti TrueCrypt, memungkinkan Anda untuk membuka kunci dan mengakses drive terenkripsi Anda, tetapi akan menyimpan kata sandi Anda untuk pengambilan nanti oleh orang jahat. Saya belum benar-benar menguji ini, tetapi saya membaca bahwa alat seperti ini memang ada:
http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf
(Sekali lagi, saya tidak tahu apakah TrueCrypt mendukung ini, tapi ...) Solusi yang layak untuk ini adalah menempatkan sektor boot dan boot loader yang tidak terenkripsi pada drive USB. Agaknya Anda menyimpan ini pada orang Anda. (Untuk keamanan tambahan, gunakan drive USB dengan enkripsi perangkat keras).
Pencatat kunci atau rekaman video Anda memasukkan kata sandi. Menggunakan kunci berbasis drive USB akan melindungi Anda dari ini (hingga penyerang mengubah perangkat keras Anda untuk memantau USB / data bus / memori mesin Anda. Ini, saya kira, tidak mungkin ...)
Referensi vektor serangan enkripsi yang bagus: http://tldp.org/HOWTO/html_single/Disk-Encryption-HOWTO/#ThreatModel
sumber
Pertanyaan yang tepat adalah risiko apa yang Anda coba mitigasi dan apakah enkripsi HD cukup untuk memitigasi ke tingkat yang dapat diterima. Jika Anda menyimpan rencana pemerintah super rahasia untuk mengambil alih dunia, maka Anda mungkin memerlukan keamanan lebih atau kurang daripada jika Anda melindungi data keuangan pribadi Anda (atau sebelum disimpan).
Manusia mengerikan dalam menilai tingkat risiko sebenarnya yang terkait dengan suatu kegiatan. Kemungkinannya adalah jika seseorang mencuri laptop Anda, mereka lebih tertarik untuk menggunakannya kembali daripada mendapatkan data (kecuali jika Anda memiliki paket super rahasia itu ...)
sumber
Ngomong-ngomong, Anda bahkan dapat menyembunyikan beberapa volume terenkripsi di balik file film palsu: http://www.ghacks.net/2011/04/12/disguising-true-crypt-volumes-in-mp4-videos/
sumber
Apa pun dapat di-crack / diretas / di-bypass / ...
Tidak semua orang bisa melakukannya (kebanyakan orang tidak bisa), tetapi selalu ada orang di luar sana yang bisa melakukan sedikit lebih banyak daripada pengguna komputer rata.
sumber
Anda jauh lebih berisiko dari virus di komputer Anda yang mengakses drive tidak terkunci atau mengintip data cleartext "in flight".
sumber