С тех пор, как я увидел возможность использования файла ключа, я задался вопросом, каковы хорошие критерии для выбора или создания файла ключа, который будет использоваться для контейнера Truecrypt?
Могу ли я просто выучить наизусть преамбулу к Хартии вольностей ООН, ввести ее в текстовый файл и получить свой файл ключей?
Существуют ли какие-либо правила создания или выбора файла ключа, который будет использоваться при шифровании?
решение1
Давайте начнем с самого начала, с того, как работает шифрование.
AES требует ключ определенной длины, для AES256 это 256 бит. Поскольку ваш пароль или файл не будет иметь длину ровно 256 бит, Truecrypt используеталгоритм хеширования(например, RIPEMD-160) для создания правильной длины.
Например, длина ключа заголовка для шифра AES-256 всегда составляет 256 бит, даже если используется HMAC-RIPEMD-160.
Использование только пароля имеет тот недостаток, что набор символов несколько ограничен символами на вашей клавиатуре. Использование ключевого файла, особенно с высоким уровнем случайности, будет более безопасным, просто потому, что он имеет больше возможных комбинаций. Недостаток, конечно, в том, что кто-то может завладеть этим файлом.
Если файл ключей каким-то образом уничтожен, его будет практически невозможно восстановить, если только это не файл, состоящий из известного контента (например, UN-Charta), тем не менее, вам придется убедиться, что контент абсолютно тот же, особенно для файлов с метаданными (например, датой создания, именем владельца), это будет трудной задачей. Но простой текстовый файл будет ограничен количеством символов, как и ваша клавиатура, и поэтому это очень плохая идея для начала.
Забыть пароль так же плохо, записать его так же плохо, как иметь файл-ключ на чем-то вроде USB-флешки. Вы всегда должны делать резервную копию вашего файла-ключа на случай повреждения данных или если ваш диск умрет.
В основном все сводится к тому, что вы предпочитаете и какой уровень безопасности вы хотите получить. Очень длинный пароль, который никто не сможет вытащить из вашей головы, или ключевой файл, к которому вы можете быть уверены, что никто не получит доступ. Следующая возможность — объединить пароль и ключевой файл, таким образом вы можете использовать более короткий пароль. Но для этого решения вам все равно придется убедиться, что третье лицо не сможет получить ключевой файл (например, сохранив его в контейнере или на диске, зашифрованном длинным паролем).
решение2
Ознакомьтесь с официальной документацией по использованию файлов ключей:http://www.truecrypt.org/docs/?s=keyfiles
Кажется, они рекомендуют использовать сжатый файл, например MP3 или JPG. Вы также можете заставить TrueCrypt сгенерировать для вас случайный файл. Использование простого текстового файла с известным содержимым похоже на использование "password" или "qwerty" для вашего пароля.
решение3
Zip-файл должен иметь довольно хорошую энтропию из-за процесса сжатия. Вы также можете зайти на random.org, чтобы сгенерировать случайные битовые карты или звуковые файлы. Ах да, и сделайте резервную копию своих файлов где-нибудь.