3번의 잠금 해제 시도 실패 후 10분 동안 자체적으로 잠기도록 디스크/파티션/파일을 암호화할 수 있는 방법이 있습니까(Linux 또는 하드웨어 암호화로, 여기서는 Windows는 아님)? ...
보안을 유지하면서 기억할 수 있도록 더 짧은 비밀번호를 사용하는 것이 아이디어입니다.
답변1
아니요.
이는 전혀 의미 없는 행동입니다. 선택한 비밀번호가 너무 간단해서 5~6번만 시도하면 추측할 수 있다면 디스크 암호화를 전혀 사용하지 않는 것이 좋습니다.
반면에 6번의 시도 이내에 비밀번호를 추측할 수 없어 이러한 "잠금 보안 조치"가 실행되면 그것도 소용이 없습니다.
약간 영리한 공격자는 오프라인 공격을 실행합니다. 즉, 그는 몇 개의 섹터를 읽고 자신의(대규모 병렬, 다중 GPU) 도구를 사용하여 무차별 공격을 시도합니다. 그는 전혀 사용하지 않기 때문에 부팅 화면에서 "그를 잠그면" 상관하지 않습니다.
합리적으로 현대적인 모든 디스크 암호화 소프트웨어는 컴퓨터에서 실제로 비밀번호에서 암호화 키를 계산하는 데 약 0.5초 정도 걸리는 값비싼 키 파생 알고리즘을 사용합니다. 이는 매초 수십억 개의 비밀번호를 테스트하는 무차별 대입 공격을 늦추기 위한 것입니다.
물론 이 문제를 해결하기 위해 다중 GPU 장치를 사용한다는 것은 초당 수천 개의 비밀번호를 테스트할 수 있다는 것을 의미합니다. 사전 기반 테스트 순열이 주어지면 다음과 같습니다.매우 낙관적"쉬운"(읽기: 나쁜) 비밀번호가 공격자를 몇 초 이상 접근할 수 없다고 가정합니다.
답변2
설명하신 방식이 아니므로 @Damon의 답변이 정확합니다.
하지만 기다려도 괜찮다면 비밀번호를 알고 있는지 여부에 관계없이 cryptsetup/LUKS 반복 시간을 매우 큰 값으로 조정할 수 있습니다. 그렇게 많이 필요하다고 생각되면 최대 10분까지 조정할 수 있습니다. 이렇게 하면 무엇을 시도하더라도 "잠금"이 항상 작동합니다.
cryptsetup --iter-time=600000 luks[Format,AddKey,ChangeKey] /dev/thing
그러나 실제로 그 길로 가는 것은 권장하지 않습니다. 이것은 그다지 실용적이지 않습니다.
어쨌든 좋은 비밀번호가 더 중요합니다. 비밀번호를 기억하기 어렵다면 다음 팁을 들어보세요.http://xkcd.com/936/
이는 네트워크 비밀번호에 적용됩니다(잠금은 공격자가 데이터베이스를 얻을 때까지 실제로 작동합니다). 디스크 암호화의 경우 아마도 4개의 임의 단어 이상을 사용하고 싶을 것입니다.
그러나 일반적으로 좋은 비밀번호는 기억하기 어려울 필요가 없습니다.
답변3
아니요, 그건 말이 안 돼요.
시도 사이의 지연은 다음과 같습니다.온라인예를 들어 시스템 인증을 위해 비밀번호를 사용합니다. 이는 시스템에 액세스하기 위해 소프트웨어 "게이트웨이"를 거쳐야 하는 경우에 적합합니다. 잘못된 시도 후에 게이트웨이는 동일한 소스로부터의 추가 시도를 지연하거나 차단할 수 있습니다. 시스템에 도달하는 유일한 방법은 시스템 자체의 일부이기 때문에 지연이 작동합니다.
시도 사이의 지연은 의미가 없습니다오프라인예를 들어 특정 데이터를 해독하려면 비밀번호를 사용하십시오. 시스템에 도달하는 방법은 시스템 자체의 일부가 아니므로 공격자가 자신의 비밀번호 검사기를 구현할 수 있기 때문에 이는 불가능합니다. 또한 암호화된 데이터를 복사할 수 있으므로 공격자가 하드웨어에 대해 최대한 많은 시도를 시도할 의향이 있는 한 동시에 여러 번의 시도를 수행할 수 있습니다. 공격자가 1000개의 데이터 복사본을 만들고 1000대의 컴퓨터에서 가능한 한 빨리 해독하려고 한다면 이를 막을 수 있는 방법은 없습니다.
비밀번호 확인을 본질적으로 느리게 만들어 상대방의 속도를 늦출 수 있습니다. 볼륨을 암호화하는 데 사용되는 키는 그 자체가 다른 키로 암호화되며, 이는 다시 비밀번호에서 파생됩니다. (잘못 설계된 일부 시스템은 제외.) 올바르게 수행되었다면 키에서 비밀번호를 추출하는 것은버튼 스트레치 기능이는 본질적으로 느립니다. 잠재적인 비밀번호에서 키를 추출하는 가장 빠른 방법은 많은 계산을 필요로 합니다. 잘 설계된 시스템에서는 계산량을 조정할 수 있습니다. 예를 들어 LUKS의 경우 이는 -i'cryptsetup luks'에 대한 인수입니다. 매개변수가 클수록 귀하와 귀하의 적이 귀하의 비밀번호를 확인하는 속도가 느려집니다.
신용카드는 온라인 시스템이기 때문에 4자리 PIN을 사용할 수 있습니다. 카드 기술에 따르면 사용자가 입력한 PIN은 확인을 위해 은행으로 전송되며(따라서 은행 서버는 3번의 작업 실패) 전략을 벗어나게 됩니다. 카드를 손상된 것으로 기록) 또는 카드의 칩을 통해 인증됩니다(따라서 카드의 칩은 "카드" "손상됨" 플래그를 영구 메모리에 저장하여 "3번 실패하면 아웃" 전략을 구현함). .
비밀번호에서 파생된 키를 사용하는 대신 스마트 카드에 저장된 키를 사용하여 데이터를 암호화할 수 있습니다. 이렇게 하면 쉽게 해독되지 않는 매우 짧은 비밀번호(예: 4자리 PIN)를 가질 수 있습니다. 그러나 단점도 있습니다. 데이터에 접근하려면 카드를 가지고 있어야 합니다. 데이터에 액세스하려면 카드 리더가 필요합니다. 카드를 분실하거나 문제가 발생할 경우를 대비해 열쇠를 어딘가에 백업해야 합니다. 컴퓨터에 TPM 칩이 있는 경우 카드를 컴퓨터 간에 휴대할 수 있다는 점(이동식 드라이브 또는 원격 볼륨에 유용함)을 제외하고는 스마트 카드와 동일한 목적으로 사용됩니다. 반면 TPM은 마더보드에 연결되어 있습니다(암호화된 볼륨의 경우). 내부 드라이브에 있음)