Desde que vi la opción de usar un archivo de clave, me preguntaba cuáles son buenos criterios para seleccionar o crear un archivo de clave que se usará para un contenedor Truecrypt.
¿Puedo simplemente aprenderme el preámbulo de la carta de la ONU de memoria, escribirlo en un archivo de texto y tener mi archivo clave?
¿Existe alguna regla para crear o seleccionar un archivo de clave que se utilizará en el cifrado?
Respuesta1
Empecemos desde el principio, cómo funciona el cifrado.
AES necesita una clave de una longitud específica, para AES256, 256 bits. Debido a que su contraseña o archivo no tendrá exactamente 256 bits, Truecrypt utiliza unalgoritmo de hash(por ejemplo, RIPEMD-160) para generar la longitud correcta.
Por ejemplo, una clave de encabezado para el cifrado AES-256 siempre tiene una longitud de 256 bits, incluso si se utiliza HMAC-RIPEMD-160.
Usar sólo una contraseña tiene la desventaja de que el conjunto de caracteres está algo limitado a los símbolos del teclado. Usar un archivo de claves, especialmente uno con un alto nivel de aleatoriedad, será más seguro, simplemente porque tiene más combinaciones posibles. La desventaja, por supuesto, es que alguien podría hacerse con este archivo.
Si el archivo clave se destruye de alguna manera, será casi imposible recrearlo, a menos que sea un archivo compuesto de contenido conocido (por ejemplo, UN-Charta), aún así debe asegurarse de que el contenido sea exactamente el mismo, especialmente para archivos con metadatos (por ejemplo, fecha de creación, nombre del propietario), será una tarea difícil. Pero un archivo de texto plano estará tan limitado en cuanto a su número de símbolos como su teclado, por lo que es una muy mala idea para empezar.
Olvidar una contraseña es tan malo como esto, escribirla es tan malo como tener un archivo de claves en algo como una memoria USB. Siempre debe hacer una copia de seguridad de su archivo de claves en caso de que los datos se dañen o si su unidad muere.
Básicamente, todo se reduce a qué prefiere y qué nivel de seguridad desea lograr. Una contraseña muy larga que nadie puede sacar de su cerebro o un archivo de claves al que puede asegurarse de que nadie tenga acceso. La siguiente posibilidad es combinar contraseña y archivo de claves, de esta forma podría utilizar una contraseña más corta. Pero para esta solución aún debe asegurarse de que una tercera persona no pueda adquirir el archivo de claves (por ejemplo, almacenándolo dentro de un contenedor o unidad cifrada con una contraseña larga).
Respuesta2
Consulte la documentación oficial sobre el uso de archivos clave:http://www.truecrypt.org/docs/?s=keyfiles
Parece que recomiendan utilizar un archivo comprimido, como un MP3 o un JPG. También puedes hacer que TrueCrypt genere un archivo aleatorio para ti. Usar un archivo de texto plano con contenido conocido parece el equivalente a usar "contraseña" o "qwerty" como contraseña.
Respuesta3
Naturalmente, un archivo zip debería tener una entropía bastante buena debido al proceso de compresión. También puedes ir a random.org para generar mapas de bits aleatorios o archivos de sonido. Ah, sí, y haz una copia de seguridad de tus archivos en algún lugar.