LUKS con autenticación de llave USB, ¿qué tan seguro es?

Question

Depende de tu punto de vista. Es más seguro ya que los archivos de claves suelen ser verdaderamente aleatorios, mientras que las frases de contraseña tienden a ser cortas y débiles.

Por otra parte, una frase de contraseña, por sí sola, cuesta alrededor de $5 para descifrarla, ya sea usando un dongle keylogger o un gestor de arranque/initramfs modificado o el infameLlave de descifrado XKCD. Lo mismo ocurre con los archivos clave si es solo ese archivo en la memoria USB, mientras que el gestor de arranque/initramfs no está protegido en el disco duro.

La llave USB, por otro lado, le da acceso a cualquiera, si la deja enchufada en lugar de llevarla consigo en todo momento. Cualquiera puede copiar una memoria USB desatendida de forma rápida y sencilla...

Hago ambas cosas... una llave USB que contiene el gestor de arranque, el kernel, initramfs con archivos de claves cifrados con LUKS que requieren una frase de contraseña para acceder. Por lo tanto, necesitas tanto la clave como la contraseña para desbloquear. No estoy seguro de si se puede llamar a esto una autenticación de dos factores: se trata del límite de lo que estaba dispuesto a hacer manteniendo las cosas prácticas. (La memoria USB de arranque también es útil para llevar consigo una docena de LiveCD).

¿Cuál es tu modelo de amenaza? ¿Lo pensaste siquiera?

Si me dejas mudarme a tu casa, ¿quieres que pueda acceder a tus datos con poco o ningún esfuerzo?

Si mueres mañana, ¿quieres que tus familiares puedan descifrar tus cosas?

Con una memoria USB que no acepte una frase de contraseña, sería posible, y deseable, para esas fotos familiares de las que solo tienes una copia...

Tengo un servidor que se descifra a sí mismo durante el arranque [usando huellas dactilares de hardware como CPU, RAM, dirección Mac,...], no es necesaria ninguna interacción... el modelo de amenaza aquí es que alguien podría quitar la unidad y colocarla en otra. caja del cliente, o cosas así.

Answer 1

Depende de tu punto de vista. Es más seguro ya que los archivos de claves suelen ser verdaderamente aleatorios, mientras que las frases de contraseña tienden a ser cortas y débiles.

Por otra parte, una frase de contraseña, por sí sola, cuesta alrededor de $5 para descifrarla, ya sea usando un dongle keylogger o un gestor de arranque/initramfs modificado o el infameLlave de descifrado XKCD. Lo mismo ocurre con los archivos clave si es solo ese archivo en la memoria USB, mientras que el gestor de arranque/initramfs no está protegido en el disco duro.

La llave USB, por otro lado, le da acceso a cualquiera, si la deja enchufada en lugar de llevarla consigo en todo momento. Cualquiera puede copiar una memoria USB desatendida de forma rápida y sencilla...

Hago ambas cosas... una llave USB que contiene el gestor de arranque, el kernel, initramfs con archivos de claves cifrados con LUKS que requieren una frase de contraseña para acceder. Por lo tanto, necesitas tanto la clave como la contraseña para desbloquear. No estoy seguro de si se puede llamar a esto una autenticación de dos factores: se trata del límite de lo que estaba dispuesto a hacer manteniendo las cosas prácticas. (La memoria USB de arranque también es útil para llevar consigo una docena de LiveCD).

¿Cuál es tu modelo de amenaza? ¿Lo pensaste siquiera?

Si me dejas mudarme a tu casa, ¿quieres que pueda acceder a tus datos con poco o ningún esfuerzo?

Si mueres mañana, ¿quieres que tus familiares puedan descifrar tus cosas?

Con una memoria USB que no acepte una frase de contraseña, sería posible, y deseable, para esas fotos familiares de las que solo tienes una copia...

Tengo un servidor que se descifra a sí mismo durante el arranque [usando huellas dactilares de hardware como CPU, RAM, dirección Mac,...], no es necesaria ninguna interacción... el modelo de amenaza aquí es que alguien podría quitar la unidad y colocarla en otra. caja del cliente, o cosas así.

LUKS con autenticación de llave USB, ¿qué tan seguro es?

Respuesta1

información relacionada