何度も失敗した後、一定期間にわたって自己ロックするディスク暗号化はありますか?

何度も失敗した後、一定期間にわたって自己ロックするディスク暗号化はありますか?

3回のロック解除に失敗した後、10分間自分でロックするようにディスク/パーティション/ファイルを暗号化する方法はありますか(Linuxまたはハードウェア暗号化では、ここではWindowsではありません)。 ...

セキュリティを維持しながら覚えておくために、より短いパスワードを使用することがアイデアです。

答え1

いいえ。

これはまったく意味のない行動です。選択したパスワードが単純すぎて5〜6回試しても推測できる場合は、ディスク暗号化をまったく使用しないことをお勧めします。

一方、6回の試行以内にパスワードを推測することはできません。

少し賢い攻撃者はオフライン攻撃を実行します。つまり、彼はいくつかのセクターを読み、独自の(大規模並列、マルチGPU)ツールを使用して無差別攻撃を試みます。彼はまったく使用していないので、起動画面で「彼をロックしたら」気にしません。

合理的に現代のすべてのディスク暗号化ソフトウェアは、コンピュータで実際にパスワードから暗号化キーを計算するのに約0.5秒かかる高価なキー派生アルゴリズムを使用します。これは、毎秒数十億のパスワードをテストする無差別代入攻撃を遅らせることです。
もちろん、この問題を解決するために複数のGPUデバイスを使用することは、毎秒数千のパスワードをテストできることを意味します。辞書ベースのテスト置換が与えられると、次のようになります。非常に楽観的「簡単」(読み取り:悪い)パスワードが攻撃者に数秒以上アクセスできないとします。

答え2

説明した方法ではないので、@Damonの答えは正しいです。

しかし、待っても問題ない場合は、パスワードを知っているかどうかにかかわらず、cryptsetup / LUKSの繰り返し時間を非常に大きな値に調整できます。そんなにたくさん必要だと思えば、最大10分まで調整できます。これにより、何を試しても「ロック」は常に機能します。

cryptsetup --iter-time=600000 luks[Format,AddKey,ChangeKey] /dev/thing

しかし、実際にその道に行くことはお勧めできません。これはあまり実用的ではありません。

とにかく良いパスワードがより重要です。パスワードを覚えにくい場合は、次のヒントを聞いてください。http://xkcd.com/936/

これはネットワークパスワードに適用されます(ロックは攻撃者がデータベースを取得するまで実際に機能します)。ディスク暗号化の場合は、おそらく4つのランダムな単語以上を使用したいと思います。

しかし、一般的に良いパスワードは覚えにくい必要はありません。

答え3

いいえ、そうではありません。

試行間の遅延は次のとおりです。オンラインたとえば、システム認証にパスワードを使用します。これは、システムにアクセスするためにソフトウェア「ゲートウェイ」を通過する必要がある場合に適しています。間違った試みの後、ゲートウェイは同じソースからのさらなる試みを遅らせたりブロックしたりすることがあります。システムに到達する唯一の方法はシステム自体の一部であるため、遅延が機能します。

試み間の遅延は意味がありませんオフラインたとえば、特定のデータを復号化するには、パスワードを使用します。システムに到達する方法はシステム自体の一部ではないため、攻撃者が自分のパスワードチェッカーを実装できるため、これは不可能です。また、暗号化されたデータをコピーする可能性があるため、攻撃者がハードウェアに対してできるだけ多くの試みを試みたいと思う限り、複数の試行を同時に実行する可能性があります。攻撃者が1000個のデータコピーを作成し、1000台のコンピュータでできるだけ早く解読しようとした場合、これを防ぐ方法はありません。

パスワードの確認を本質的に遅くして相手の速度を遅くすることができます。ボリュームを暗号化するために使用される鍵は、それ自体が別の鍵で暗号化され、これはパスワードから派生します。 (誤って設計された一部のシステムは除く。)正しく実行された場合、キーからパスワードを抽出することはボタンストレッチ機能これは本質的に遅いです。潜在的なパスワードからキーを抽出する最速の方法は多くの計算を必要とします。うまく設計されたシステムでは、計算量を調整できます。たとえば、LUKS の場合、これは-i'cryptsetup luks' の引数です。パラメータが大きいほど、あなたとあなたの敵があなたのパスワードを確認するのは遅くなります。

クレジットカードはオンラインシステムなので、4桁のPINを使用できます。カードの技術によると、ユーザーが入力したPINは確認のために銀行に送信され(したがって銀行サーバーは3回の作業に失敗し)、戦略から外れます。カードを破損したものとして記録するか、カードのチップを介して認証します(したがって、カードのチップは「カード」「破損」フラグを永久メモリに保存し、「3回失敗した場合はアウト」戦略を実装します)。 。

パスワードから派生したキーを使用する代わりに、スマートカードに保存されているキーを使用してデータを暗号化できます。これにより、簡単に解読されない非常に短いパスワード(4桁のPINなど)を持つことができます。しかし、欠点もあります。データにアクセスするにはカードを持っている必要があります。データにアクセスするにはカードリーダーが必要です。カードを紛失したり、問題が発生した場合に備えて、鍵をどこかにバックアップする必要があります。コンピュータにTPMチップがある場合は、カードをコンピュータ間で持ち運ぶことができること(取り外し可能なドライブまたはリモートボリュームに役立ちます)を除いて、スマートカードと同じ目的で使用されます。一方、TPMはマザーボードに接続されています(暗号化されたボリュームの場合)。内部ドライブにあります)

答え4

答えは「はい」です(もちろん)。

存在する一部のディストリビューション、Linuxディスク暗号化は、3回の試行失敗後1分間の復号化画面をロックできます。

「やや賢い」攻撃者が以下を行う場合にのみ物理的アプローチあなたの装置に。

さまざまなユーザーがさまざまなセキュリティシナリオを心配する可能性があります。

関連情報