¿Cómo protege la contraseña las claves de datos en un HDD / SSD cifrado?

Question

¿Cómo protege la contraseña las claves de datos en un HDD / SSD cifrado?

#1 de HTLee (-1 votos)

2

¿Cómo se protege la clave de datos utilizada para el cifrado completo del disco? ¿Se deriva una clave de ajuste de la contraseña o simplemente se desbloquea una vez que se ha proporcionado la contraseña? Si se utiliza un mecanismo de derivación de clave existente o propietario, ¿dónde se definiría el mecanismo de derivación de clave? ¿Cómo se protege el acceso al disco con respecto a los ataques de diccionario? ¿Es posible probar cualquier número de contraseñas (una vez que el atacante puede acceder directamente a la unidad)?

He estado intentando leer mucha documentación, especialmente en las páginas de Trusted Computing Group, pero no puedo encontrar información sobre el tema. Solo he descubierto que la clave de datos generalmente se usa siempre y que se desbloquea con la contraseña.

Si no hay un método genérico, ¿cómo se protege en los discos de marca A, como los SSD de Intel y los SSD de Samsung?

Las referencias a los documentos estándar o manuales de usuario correctos son muy apreciadas.

authentication key-management encryption disk-encryption

pregunta Maarten Bodewes 23.08.2016 - 13:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication key-management encryption disk-encryption

¿Me han pirateado? ¿Cómo saber si el micrófono de mi computadora portátil está grabando automáticamente? (Ubuntu)

score -1 · Answer 1

Me gusta el wiki de cifrado de disco de valinux . Es razonable suponer que la mayoría de los esquemas de encriptación de disco funcionan de una manera muy similar y pueden implementarse completamente en base a estándares abiertos bien establecidos.

Me atrevería a decir que si descubre algo propietario en un esquema de cifrado de disco, manténgase alejado ya que podría muy bien ocultar una puerta trasera. PBKDF2 es una función de derivación de claves bastante popular y basada en estándares. Es muy probable que AES sea el algoritmo de cifrado de preferencia, preferiblemente con 256 bits, y si desea una de sus variantes más fuertes, busque GCM.

Copié algunos diagramas informativos a continuación de la wiki.

╭┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈╮                        ╭┈┈┈┈┈┈┈┈┈┈┈╮
┊ mount passphrase ┊━━━━━⎛key derivation⎞━━━▶┊ mount key  ┊
╰┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈╯,───⎝   function  ⎠     ╰┈┈┈┈┈┬┈┈┈┈┈╯
╭──────╮            ╱                               │
│ salt │───────────´                                │
╰──────╯                                            │
╭─────────────────────╮                             ▼         ╭┈┈┈┈┈┈┈┈┈┈┈┈╮
│ encrypted master key│━━━━━━━━━━━━━━━━━━━━━━(decryption)━━━▶┊ master key ┊
╰─────────────────────╯                                       ╰┈┈┈┈┈┈┈┈┈┈┈┈╯

                          ╭┈┈┈┈┈┈┈┈┈┈┈┈╮
                          ┊ master key  ┊
  file on disk:           ╰┈┈┈┈┈┬┈┈┈┈┈┈╯
 ┌ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┐        │
 ╎╭───────────────────╮╎        ▼          ╭┈┈┈┈┈┈┈┈┈┈╮
 ╎│ encrypted file key│━━━━(decryption)━━━▶┊ file key ┊
 ╎╰───────────────────╯╎                   ╰┈┈┈┈┬┈┈┈┈┈╯
 ╎┌───────────────────┐╎                         ▼            ┌┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┐
 ╎│ encrypted file    │◀━━━━━━━━━━━━━━━━━(de/encryption)━━━▶┊ readable file  ┊
 ╎│ contents          │╎                                      ┊ contents       ┊
 ╎└───────────────────┘╎                                      └┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┘
 └ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┘

En pocas palabras:

Frase de contraseña que deberá recordar e ingresar para montar el disco o la partición.
La frase de contraseña se agita a través de la función de derivación de claves para generar una clave maestra. Debería haber suficientes iteraciones como para que las funciones se procesen en su computadora.
La clave maestra se utilizará para descifrar un archivo de almacén de claves, que contiene una clave de archivo que realmente se usa para descifrar o cifrar los datos de su disco.

Q. ¿Por qué no tener una clave maestra que encripta directamente sus datos, por qué separar la clave maestra y la clave de archivo?

A. Si decide cambiar su contraseña, deberá volver a cifrar su disco para el esquema de clave maestra. Por otro lado, si tiene una clave maestra y de archivo por separado, entonces si cambia su contraseña, solo necesita volver a cifrar la clave de archivo.