¿Agregar un archivo de clave adicional, no entrópico, reduce la seguridad? [duplicar]

Parece que estás un poco confundido acerca de lo que significa "entrópico". En el contexto de la seguridad de la información, la "entropía" es una medida de lo desconocido. A menudo se expresa en bits, que es una escala logarítmica: "10 bits de entropía" significa "podría asumir 2 ¹⁰ valores posibles con probabilidad uniforme". La entropía se traduce en seguridad, ya que un atacante que intente adivinar un valor con n los bits de entropía a través de la fuerza bruta necesitará, en promedio, 2 ^n-1 intenta. Más allá de unos 100 bits de entropía, la fuerza bruta no es factible debido al costo total (no se produce suficiente energía en la Tierra para completar ese cálculo).

Al ser logarítmica, la entropía se suma: si concatena una pieza de datos con 20 bits de entropía, junto a una pieza de datos con 13 bits de entropía (e independiente de la primera pieza), la entropía total es de 33 bits. .

Por definición , un "archivo no entrópico" es un archivo con 0 entropía, lo que significa que el atacante ya lo sabe. Agregar un archivo no entrópico agregará exactamente 0 a la entropía, por lo que no hará nada más fuerte.

Cuando se usan "archivos clave", TrueCrypt usa un función criptográfica de hash que tiene la buena propiedad de" mantener la entropía alrededor "de una forma mucho más compacta. Una función hash con una salida de 160 bits necesariamente reducirá la entropía a un máximo de 160 bits, pero el lado positivo es que no la reducirá más. Y 160 bits es mucho más que suficiente para derrotar los ataques de fuerza bruta. Por lo tanto, agregar un archivo clave "no entrópico" no reducirá su seguridad efectiva (pero eso es porque TrueCrypt hace las cosas correctamente).