加密硬盘100%安全吗?

28

我想这有点偏执...无论如何,我使用所有可打印的ASCII字符用truecrypt加密了HDD,密码长为64个字符。这是相当随机的,当然没有字典单词,但是仍然可以很容易地记住。

可以强行使用吗?问题是,我知道它应该是安全的,但是难道没有机会有人会在尝试10次后就猜出密码吗?

确实存在这种可能性。正如他们所说,有时会有雷击。

windows  hard-drive  encryption  truecrypt 
偏执好
source
17
长64个字符,真的吗?您在拖钓我们吗?
uSlackr
4
不太可能在10次尝试中猜出密码。在尝试输入正确的密码之前,密码肯定会被暴力破解。我不确定64位字符密码的用途。在16个字符的密码和更多密码之间,可能的字符数量仅增加了数百万亿。换句话说,可能的密码数量非常大,只有15个和20个字符,只要密码是随机的,在您还活着的时候就不会蛮力了。让我担心的是您可以记住它,这意味着它可能类似于P @ assword。
Ramhound 2011年
6
如果您有6个孩子,更容易记住,较短的名字更容易记住。
paranoiaISGood
10
每次我要安装该硬盘驱动器时,都必须权衡利弊。“我真的想要这些数据吗?值得输入密码吗?”
Michael Mrozek 2011年
5
有人可能会一次尝试猜出您的密码。
尼克·T

Answers:

33

最简洁的答案是不!

没有安全措施本身是安全的,因为它可能包含错误/漏洞/等。它可能会承受一种绕过该保护措施的方法(例如,强行使用),但可能存在无法处理的多种方法的组合。

Truecrypt曾经(或仍然是?)容易受到“ 冷启动攻击 ”的攻击

密码存储在内存中

TrueCrypt将其密钥存储在RAM中;在普通的个人计算机上,断电后DRAM将保持其内容几秒钟(如果温度降低则更长)。即使存储内容有所降低,各种算法也可以智能地恢复密钥。这种方法被称为冷启动攻击(特别适用于在开机,挂起或屏幕锁定模式下获得的笔记本计算机),已成功用于攻击受TrueCrypt保护的文件系统。

有关“ TrueCrypt安全问题 ”的其他阅读。

TFM
source
5
通过在BIOS中启用内存测试(将在启动时清除RAM),并防止某人从您的PC中卸下DIMM(这将防止某人拉出DIMM并复制内容),可以缓解冷启动攻击。哦,为您的CMOS电池和CMOS透明跳线涂上环氧树脂,以防止他人禁用内存测试。
myron-semack 2011年
1
TrueCrypt退出或自动卸装设备后,TrueCrypt 7会擦除驱动程序内存中的缓存密码。您可以在“ True Crypt-Preferences”对话框中启用它
DiableNoir 2011年
14

在工作中,我们每天处理硬盘驱动器加密。事实是,对于家庭用户而言,驱动器上的加密类型可能已经足够。我对所有数据都有偏执的感觉,而truecrypt使我满意。

但是,硬盘驱动器的真正加密必须在硬件级别进行。在网上寻找Stonewood驱动器(Flagstones)。他们提供完全的硬件加密,最多可进行5次锁定,然后再锁定5次,然后再根据政府标准将其完全销毁。

n0pe
source
10

针对“是否可以强行使用”

有95个可打印的ASCII字符(包括空格),因此有95 个64个可能的64个字符的密码。这是3.75 x 10 126,超过了420位安全性。相比之下,128位被认为可以安全地防止对AES密钥的暴力破解,而265位足以为可见宇宙中的每个原子分配不同的值。

假设您的对手拥有100亿台计算机的僵尸网络(比最大的已知僵尸网络大1000倍),每台计算机每秒可以检查10亿个密码,那么通过蛮力查找密码的预期时间为5.87 x 10 51年-那是45万亿亿亿倍宇宙年龄。

所以是的,您的密码绝对安全。 实际上,假设您使用的是AES-256,则64位字符的密码不会给您提供比39位字符的密码更高的安全性,因为在此之后,仅暴力破解密钥会更快。

BlueRaja-Danny Pflughoeft
source
4
“ TrueCrypt将AES与256位密钥一起使用”。因此,使用39个以上的字符不会改变任何内容。
Max Ried
尽管这是事实,但类似的计算假设必须尝试使用​​所有密码才能成功进行攻击。也就是说,您假设最后一个密码可能性将是正确的可能性,而不仅仅是他们尝试的最后一个。可以很容易地选择第一个,第十五个或第五十个。毕竟,它们是随机尝试输入密码的。随机允许早期成功以及根本没有成功。既然我们陷入偏执狂。
zenbike 2011年
@zenbike:是的,这在我的计算中已考虑在内;在预期时间(平均超过许多尝试)是搜索空间的平方根(见这里) -也就是说,在5.87×10 ^51年,还有已经发现了它的50%的机会。随着距离的临近,机会迅速减少。例如,在5.87 x 10 ^ 46年内找到密码的机会约为0.000001%-在我们的一生中找到密码的机会与由于量子效应而随机穿过墙壁的人的机会相同。
BlueRaja-Danny Pflughoeft
@BlueRaja:然而,它存在的机会很小,而且还存在在可用的时间范围内破坏加密的可能性(而不是可能性)。
zenbike 2011年
@zenbike:幸运的是,我们生活在现实世界中,在某些情况下,无论出于什么意图和目的,都不可能将某些事情视为不可能。这是幸运的,例如,它完全有可能使我体内的每个原子立即磁化并将铁从我的血液中剥夺;或每一次突然破裂的束缚,都使我气into。回到现实世界,SHA-1只有80安全位(许多数量级小于他的密码)对碰撞,然而,尽管超级计算机积极寻找,没有人曾经发现两个密码散列为相同的SHA-1 。
BlueRaja-Danny Pflughoeft
6

如果您的密码足够随机,那么就像BlueRaja所详述的那样,您就可以免受暴力攻击。

但是,您可以使用一种稍微强一点的方法,当然也可以减少痛苦的方法(我说“可能”是因为我对TrueCrypt不够熟悉;我将这种方法用于LUKS / AES-256驱动器)。改用私钥解锁驱动器。将该密钥存储在USB驱动器上。用一个密码短语(不必太复杂)锁定该键,这样您就有效地采用了两个因素的“必杀技”。

对于真正的偏执狂,除了冷启动攻击之外,还有其他攻击媒介:

  1. 持续的引导扇区攻击。例如:

    可以物理访问您计算机的坏人可以用恶意软件替换TrueCrypt引导程序。它的外观和行为类似于TrueCrypt,允许您解锁和访问加密的驱动器,但会存储密码,以供以后由坏人检索。我没有实际测试过,但是我读到确实存在这种性质的工具:

    http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf

    (再次,我不知道TrueCrypt是否支持此功能,但是...)一个不错的解决方案是将引导扇区和未加密的引导加载程序放在USB驱动器上。大概是您自己负责。(为增强安全性,请使用具有硬件加密功能的USB驱动器)。

  2. 输入您的密码的按键记录器或视频记录。使用基于USB驱动器的密钥可以保护您免于此攻击(直到攻击者修改您的硬件以监视计算机的USB /数据总线/内存。我想这不太可能...)

不错的加密攻击向量参考:http : //tldp.org/HOWTO/html_single/Disk-Encryption-HOWTO/#ThreatModel

约翰·金
source
2

正确的问题是您要减轻什么风险,高清加密是否足以减轻到可接受的水平。如果您要存储超级秘密的政府计划以接管世界,那么与保护个人财务数据(或pr0n存储)相比,您可能需要更多或更少的安全性。

人类在评估与某项活动相关的真实风险水平时感到恐惧。如果有人偷了您的笔记本电脑,他们很可能会比重用计算机更感兴趣,而不是获取数据(除非您有这些超级秘密计划...)

uSlackr
source
0

任何事情都可能被破解/黑客入侵/绕过/ ...
并非所有人都能做到(大多数人做不到),但是总有人能比普通计算机用户做得更多。

罗宾
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.