TrueCrypt VS LUKS Bruteforce Resilience

4

He estado investigando los temas de LUKS vs TrueCrypt. Mi única preocupación es la seguridad, pero la mayoría de las discusiones que veo se centran en la usabilidad / interoperabilidad.

Sé que TrueCrypt tiene un montón de buenas características de frase de contraseña: algoritmo de hash lento, miles de iteraciones, opciones para múltiples archivos de claves, etc. Estas características me hacen sentir que la seguridad de la clave secreta de los datos cifrados es bastante sólida. Pero no sé qué hace LUKS al respecto. Sé que en TrueCrypt si hago mi frase de contraseña "abc" la clave de cifrado final no será "abc", será el resultado de un hash lento, pero si uso LUKS, ¿cómo se verá mi clave si la frase de contraseña es "abc? ".

(Este es un ejemplo hipotético, no pretendo usar una frase de contraseña de tres caracteres ... solo necesito demostrar mi punto. Por favor, no hay discusión de frases de contraseña débiles aquí, lo sé todo, supongo que lo haré use la cantidad máxima de caracteres para cualquier frase de contraseña, LUKS o TrueCrypt.)

También, sé que TrueCrypt ofrece otras características, como el cifrado de múltiples capas con diferentes algoritmos y diferentes claves. Eso suena como una buena medida, ¿LUKS tiene alguna opción como esta? Cuando instalo el SO (MINT) solo tengo una opción de casilla de verificación sí o no para cifrar. No veo más opciones de configuración al instalar. ¿Cuáles son los valores predeterminados?

Mi principal preocupación aquí es que, si bien conozco un poco acerca de TrueCrypt y cómo funciona con respecto a mis deseos de seguridad, no tengo idea de cómo se comporta LUKS. Digamos que LUKS fuera de la caja no ofrece cifrado de múltiples capas o hash lento, ¿hay alguna manera de habilitar esta postinstalación? ¿Qué implica cambiar las configuraciones LUKS de una instalación más débil existente a una más fuerte más adecuada para las características de TrueCrypt que me atraen?

Para repetir, no quiero una discusión de usabilidad. Sí, he escuchado la discusión de "la mala capacidad de uso es la seguridad deficiente", pero en este caso, incluso si mis datos no son tan confidenciales, deben ocultarse de los piratas informáticos extraterrestres con financiamiento estatal. Considere este entorno de práctica para enseñarme la configuración más estricta y segura. Si sufro una debilidad de seguridad relacionada con la usabilidad (error humano), entonces debo aprender de tal error.

Gracias por la entrada, siempre es muy apreciada.

    
pregunta Radmilla Mustafa 05.12.2014 - 19:13
fuente

2 respuestas

6

Las respuestas que está buscando pueden encontrarse en la documentación de Cryptsetup , pero para resumir:

  1. LUKS usa PBKDF2 para derivar una "clave de ranura" de su contraseña, con un recuento de iteración predeterminado suficiente para tomar un segundo en la computadora que creó el volumen LUKS.
  2. Esta "clave de ranura" no está relacionada con la clave utilizada para cifrar sus datos. Solo se utiliza para descifrar una copia de la clave maestra de volumen, que luego se usa para cifrar / descifrar los datos.
  3. Puede tener hasta ocho contraseñas diferentes para desbloquear el volumen.
  4. Cada tecla de ranura puede tener su propia función de derivación. Si descubre que un segundo de PBKDF2 no se ajusta a sus necesidades, puede agregar una nueva contraseña con diferentes parámetros y borrar la anterior.
  5. No hay soporte para cambiar el cifrado en un volumen LUKS después de que se haya creado.
  6. Al crear un volumen LUKS desde la línea de comando, puede especificar el cifrado utilizado. El valor predeterminado es "aes-xts-plain64" (cifrado AES-128 en modo XTS sin función hash). LUKS no admite algoritmos de cifrado en capas.
  7. LUKS no admite volúmenes ocultos de la forma en que lo hace Truecrypt, pero dado que todos y sus perros saben acerca de la compatibilidad con volúmenes ocultos de Truecrypt, estos volúmenes "ocultos" no pueden considerarse secretos en el mundo real (como opuesto a al sentido de la información-teórica).
respondido por el Mark 05.12.2014 - 21:42
fuente
1

El disco cifrado por TrueCrypt parece datos aleatorios. No tiene cabecera, todo está encriptado. Nadie puede probar que contiene datos.

LUKS tiene un encabezado y se podría probar fácilmente que el disco contiene datos cifrados LUKS. Si la policía confiscó su computadora portátil en las fronteras del Reino Unido y vio que contiene la partición LUKS, podrían retenerlo en la cárcel hasta que revele la contraseña. Si tenía la partición cifrada por TrueCrypt, puede reclamar que se eliminó de forma segura, al menos la negociación sería más fácil.

TrueCrypt es el proyecto de la muerte. Es un gran código difícil de verificar. Sin embargo, hay un reemplazo:

enlace

tcplay tiene un código muy corto. Puede montar y crear imágenes TrueCrypt. Hice una auditoría por mi cuenta y puedo afirmar que es segura :-).

    
respondido por el smrt28 04.10.2015 - 20:09
fuente

Lea otras preguntas en las etiquetas