TrueCrypt a síla zabezpečení
Ahoj,
hodlám si přes TrueCrypt vytvořit zašifrovanou virtuální (její obsah bude ukládán do souboru) diskovou jednotku a tam ukládat citlivé materiály. Styl práce s tímto nástrojem chápu, jen by mě zajímaly tři věci:
1. Je nějaké bezpečnostní riziko, když pro heslo k připojení té diskové jednotky bude stejné jako mé heslo do systému? Předpokládejme, že ho nikdo nezná, PC je pravidelně záplatováno, žádný trojan atd. na něj nebude vpuštěn, stejně jako žádný jiný uživatel.
2. Je heslo o osmi znacích, kombinující velká a malá písmena, čísla a speciální znaky dostatečně silné (budu tam mít i pracovní data a čert nikdy nespí)? TrueCrypt doporučuje aspoň 20 znaků, ale to mi přijde šílené k zapamatování.
3.Použít bych chtěl šifrování TwoFish, vychází nejlíp z hlediska rychlosti. Opět - je dostatečně silné?
Díky za jakékoliv komentáře a postřehy, i mimo uvedené oblasti, ale k tématu.
Jo - mám Eng. Vista Home Premium.
Tak si tam dej svoje stávající heslo 3x za sebou...
123 třikrát za sebou mu dvacet znaků nedá.![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
To je myšlenka!
Ale na druhou stranu - jestliže s osmi znaky je doba odhalení 500 let a s 20 znaky je těch let 500 000, tak by mi stačilo těch osm...
Mám taky obavu, že kdyby mi někdo ukradl disk, tak bude schopen si zjistit NĚJAK heslo do Windows a to bude to první, co ho napadne zkusit na enkryptovaný archiv. Haúúúú, další heslo musí být jinak...
Ved ak si das to heslo 2x po sebe, tak mu heslo z Win predsa na archiv fungovat nebude.
Vseobecne, heslo do OS by nemalo byt mozne rekonstruovat, kedze je to hash. Malo by sa dat len resetnut (nastavit ine heslo). Ale ktovie aky MS-totalexpert to hashovanie hesla robil, takze by som sa na to na 100% nespoliehal
P.S. ak by niekto chcel zistit heslo na dialku apod (ked mas to PC este ty), tak nema problem pouzit keylogger. Ak ide ale len o ochranu pri ukradnuti PC, tak to je vpodstate bezpecne.
Ja osobne mam radsej heslo v BIOSe ktore zahesluje aj HDD, bohuzial velmi malo vyrobcov MB toto podporuje, videl som to len na "znackovejsich" NB, neviem preco to nerobia aj ini, je to IMHO super ochrana. Ani keyloggery sa nechytaju (jedine nejake HW-odpocuvadlo zapojene do kabla klavesnice).
Což třeba u xp s admin účtem pomocí patřičných nástrojů lze a celkem rychle.
Zjistit snad nejde, ne? Pouze vymazat...
Ak je heslo slabe (malo znakov napr. len 6znakov) alebo ak je slovnikovo napadnutelne tak v principe ide aj zistit (brute force resp. slovnik)
To je jasné. To už pak ale není chyba Windows, nýbrž uživatele... Bruteforcem jde zjistit každé heslo, když máš dost času a jsi nesmrtelný.
Dělám to tak že mám šifrovanou malou fošnu ukrytou kdesy hluboko v systému a v něm mám hesla(silný) v keepass(hesla ve schránce smaže) a automatické doplňování-rychlý a bezpečný.
v těch keepass heslech jsou teprva hesla k mým fošnám,možná skrytých, možná ne..
EDIT/// teď si to po sobě čtu a nerozumím slovu
to mi něco připomnělo z loňska:
s šifrováním seznamu hesel se zrovna nepárám, prostě jsou v texťáku který najdu, lépe řečeno ho vyvolám v historii pspadu. měl svůj adresář a mi to vyhovovalo.
protože mě furt obtěžovala doménová politika mít nastavené uživatelské adresáře na síťové disky (při přenesení hibernovaného ntb mimo doménu poměrně smrtící pro stabilitu a normální odezvu jakékoli akce ve windows), přesměroval jsem m.j. bezcenný nepoužívaný zástupce "favorites" na jakýsi lokální adresář.
dost jsem pak zíral, když jsem uviděl v menu prohlížeče svůj tajný soubor s tajnými hesly
p.s.: teď se na to dívám, je tam furt. asi mi to nestálo za změnu.
ale zítra raději nezapomenu zkontrolovat svůj putovní profil na jiných pc.
1) je to dost hloupé mít stejné heslo. Nástroje na prolomení windows hesla jsou. Pracují na principu kolize hashe viz například pro mě ne moc srozumitelný článek
http://www.root.cz/clanky/tunely-v-hasovacich-funkc ich-kolize-md5-do-minuty/
http://www.root.cz/clanky/nalezani-kolizi-md5-hrack a-pro-notebook/. Pochopitelně když někdo zjistí heslo do win zkusí jej použít i jinde.
2) heslo o osmi znacích je pro děcka nebo na max na firemní email. Prostě k tomu svému vymyšlenému heslu něco přidej nějakou náhodnou číslici a písmenko ať je toho aspoň 12písmen.
3) doporučil bych spíš AES měl by být modernější a lepší. Stejně ale schopnost něco pořádně zašifrovat podkopeš málobitovým heslem.
Jinak brzy má být truecrypt 5 a podporou šifrování windows na systémovém disku /jako drivecrypt plus pack/.
Já teď například hesla řeším na klíčence, jedno heslo k trucrypt souboru, druhé heslo ke keepass databázi v tom zašifrovaném souboru.Hesla v keepass databázi generuji automaticky.
Bude pětka s podporou šifrování windows na systémovém disku ? hmm,to se mi zamlouvá.Zřejmě integrujou tu mrchu tcginu + nějaký ten loader.Nemáš nějaký bližší info?
jenom tohle
a doufám si to správně vykládám
future.php
Tůdlencto.Mi to taky tak přijde - díky za info.
1) Najdenie kolizie neznamena prelomenie (je to od prelomenia na svetelne roky vzdialene). Ak nejake nastroje su, tak bud vyuzivaju nedokonalost hash funkcie Win alebo pouzivaju brute force. Nepamatam sa uz presne ako to bolo zaoberal som sa s tym niekedy pred 2rokmi, myslim ze win nepouziva MD5, a na "prelomenie" MD5 sa da ist tusim len s bruteforce, ale ku kazdemu hashu existuje nekonecny pocet moznych povodnych hesiel, to vyplyva uz z principu hashovania, tak neviem ci by utocnik skusal nekonecny pocet hesiel :)
Len tak pre zaujimavost, uz si tie nastroje o ktorych pises skusal? Daj si napr. 15znakove heslo do win a skus si ich.
K ostatnym bodom sa nevyjadrujem, to je len polemika. S tym >12znakovym heslom suhlasim. Dnesne SW na kryptovanie su s dostatocnym heslom dostatocne bezpecne, mal by byt dosatatocne bezpecny aj ten truecrypt.
1) jestli to dobře chápu tak když program vytáhne z nějakého počítače hash tak je schopný vygenerovat heslo nebo náhradní heslo které mu odpovídá a které zabere. Čímž se obejde bruteforce.
Win používá tuším SHA ale nevím.
Nástroje co sem viděl a měl k dispozici používali metodu brute-force.
To prave nevie. Aspon napr. u MD5 nie. Vediet najst koliziu tomu nijak nepomoze. Vediet najst koliziu je len jedno zo slabsich "nebezpecenstiev" sifry, skor zneuzitelne u dig.podpisu, ale nestaci to na decryptovanie plaintextu. Win pouziva tusim nieco starsie nie MD5, takze u Win hesla to moze byt mozne decryptovat rychlo, pisem ze uz si nepamatam zaoberal som sa tym davno. Skus si do Win dat admin heslo napr. "cisunowiedjoweiuhioqwhdiehdewuh"
a skus ho decryptovat. Mozno to klapne ja uz sa nepamatam ako to ma Win. U kratkych hesiel a hesiel napadnutelnych slovnikom je samozrejme vysledok k dispozicii hodne rychlo, u sialenych hesiel neviem neviem.
P.S. a keby nasiel "nahradne" heslo (davajuce rovnaky hash) tak to ti ale potom nepojde v truecrypte pretoze truecrypt robi urcite iny hash ako Win, a ten u "nahradneho" hesla suhlasit nebude.
P.S.2. k tomu "vediet najst koliziu" - to sa robi tak ze poznas povodny text aj hash (resp. mozes si volit lubovolny), a chces najst iny text davajuci rovnaky hash. Ak sa ti to podari mozes povedat "viem najst koliziu", ale u decryptovania hesla nepoznas povodny text (povodne heslo, to prave hladas), takze hladanie kolizii je v tomto pripade nepodstatne, nijak ti nepomoze.
Ten jde na to jinak.Máš na výběr z více druhů hashů,v žádným případě neoperuje s heslem(win taky ne).Zadáš heslo(musíš vědět)TC vygeneruje hashe které může a všechny je zkusí-pokud ani jeden nezapadne,tak neotevře.
Dobrá kombinace je heslo+ klíč/e a hash třeba whirpoolka - zpětný dešifrování je takřka nemožné-alespoň co o tom soudí odborníci.
daj si do truecryptu to Win heslo 2x za sebou a hotovo, este medzi to mozes dat nejaky sialeny znak (ale taky ktory budes vediet najst aj na inej klavesnici ako CZ :), to uz bude uplne bezpecne.
Co sa tyka sifry tak twofish pokial viem doteraz nikto necrackol podobne ako kopec inych (AES atd), pouzi co chces moznosti mas viac a vsetky su dobre.
Díky všem, použiju radši jiné heslo než do Win a dám mu víc než dvacet znaků.
... inac dobre citanie na zaciatok je napr. toto
http://www.lupa.cz/clanky/hasovaci-funkce-jak-se-od olava-hackerum/
a este to ma zaujimave pokracovanie
http://www.lupa.cz/clanky/zustava-elektronicky-podp is-bezpecny/
P.S. keby to niekomu nestacilo tak prednaska http://cryptography.hyperlink.cz/2005/cryptofest_20 05.htm, ale tam uz zacina hardcore
faq.php