Mejores prácticas para la combinación TrueCrypt + Yubikey

Navega tus respuestas
4

Estoy tratando de encontrar una manera segura y conveniente de cifrar mi disco externo con TrueCrypt. Actualmente utilizo una contraseña segura de 50 caracteres, pero estoy cansada de escribirla cada vez. Tengo un Yubikey y varias memorias USB que puedo dedicar a esta tarea, así que creo que puedo aprovechar la autenticación de dos factores. A continuación, enumeré un par de soluciones y la mejor que puedo encontrar es la siguiente. Antes de hacer algo decidí obtener una opinión de expertos.

La ideea está utilizando Yubikey con una contraseña segura estática. Esto será algo que tengo. También estoy planeando usar archivos de claves almacenados en una memoria USB. El USB no se cifrará, pero habrá cientos de archivos pequeños. Y voy a utilizar una pequeña combinación de ellos. Así que esto también será algo que tengo, pero la combinación será algo que sé. Por lo tanto, incluso si alguien logra obtener ambos elementos, no podrá montarlos sin la combinación. Si tengo 100 archivos en el disco y uso 3 archivos, habrá 161700 combinaciones.

Desde un punto de vista de conveniencia, tendré que conectar ambos dispositivos. Toque el Yubikey una vez y seleccione los archivos clave. Todavía no suena muy rápido y fácil, pero espero que sea menos doloroso que escribir la contraseña manualmente.

¿Qué te parece este método? ¿Qué propondría para hacer este enfoque más seguro o más conveniente (sin hacerlo menos seguro)?

Gracias de antemano.

    
pregunta Volkan Paksoy 22.09.2012 - 19:55
fuente

2 respuestas

5

Son 161.700 combinaciones si el orden de los archivos no importa. Si el orden de los archivos sí importa, son 970,200 combinaciones. Pero incluso la combinación de 970,200 no es suficiente contra un adversario comprometido.

Digamos que tengo tu Yubikey y tu dispositivo USB, pero no conozco la combinación y quiero forzar la combinación. La función de derivación de la clave de cifrado TrueCrpyt ejecuta SHA-512 en la contraseña mil veces, por lo que para la combinación de 970,200 necesitaría ejecutar SHA-512 ~ 1 billón de veces, lo que llevaría unos 10 segundos en una GPU de generación actual. No es muy difícil.

Si pudiera aumentar el número de archivos a 10000 y utilizar 5 archivos, entonces (suponiendo que el orden de los archivos sea importante) tendrá casi 10 ^ 20 combinaciones, lo que probablemente sea lo suficientemente bueno para este propósito, al menos para el próximo Pocos años hasta que la ley de Moore te alcance.

Incluso eso podría no ser lo suficientemente bueno si su adversario es la NSA, GCHQ o similar. Por lo tanto, es posible que desee ir con 100.000 archivos y usar 6 de ellos para un total de casi 10 ^ 30 combinaciones, lo que equivale a una clave de 100 bits y probablemente tenga más entropía que su contraseña actual de 50 caracteres.

Habiendo dicho que no me queda claro lo que gana al reinventar la rueda en lugar de usar una autenticación de dos factores (o incluso autenticación de tres factores ).

    
respondido por el David Wachtfogel 25.09.2012 - 00:21
fuente
0

Sugiero combinar la contraseña larga y estática de Yubikey con una contraseña corta (en comparación) que conozca. Agregue un archivo de una memoria USB a la mezcla. De esa manera, necesita dos elementos que tenga (Yubikey y una memoria USB) con algo que sepa (la contraseña).

    
respondido por el Christer B 04.03.2014 - 14:18
fuente

Lea otras preguntas en las etiquetas

Deshabilitar DES-CBC-SHA en schannel ¿Los servicios como ProtonMail son tan seguros como usar Thunderbird y una clave PGP?