Я имел обыкновение хранить случайно сгенерированный ключевой файл в SmartCard, и TrueCrypt смог получить доступ к этому ключевому файлу, используя PKCS # 11.

Я пытаюсь EncFS сейчас. Некоторые люди жалуются на то, что некоторые данные шифрования (число итераций, соль и т.д.) Хранятся в простом текстовом XML-файле. Эти данные ценны для взлома злоумышленником, поэтому люди предлагают сохранить файл в безопасном месте.

У меня тогда была идея сохранить его в SmartCard/Token. Файл XML имеет размер несколько байтов более 1 КБ, поэтому любая карта SmartCard должна иметь возможность его хранить.

Проблема заключается в том, что обычно эти ключевые файлы читаются непосредственно каждым приложением с помощью API PKCS # 11. В Windows я использую EncFSMP для обработки монтирования EncFS. Он имеет только флажок для настройки внешнего файла конфигурации и простой диалог открытия файла для выбора файла в обычной файловой системе. Там нет интерфейса PKCS # 11, как TrueCrypt.

У кого-нибудь есть идеи, как это можно сделать?

Я не нашел решения, я полагаю, что никто не будет создавать программное обеспечение для монтирования SmartCard в качестве диска Windows, чтобы оно имитировало файловую систему, и любое приложение могло читать ключевой файл, используя старый добрый fopen().

Я считаю, что было бы возможно разработать графический интерфейс EncFS как EncFSMP, который поддерживает PKCS # 11 и читает ключевой файл и предоставляет его как XML-файл конфигурации для EncFS, но, конечно, нам нужен кто-то с навыками EncFS и PKCS # 11, чтобы сделать работа.

Если есть другое программное обеспечение, такое как eCryptFS, которое поддерживает ключевой файл SmartCard, я также хотел бы знать. До сих пор ничего не нашел, похоже, что только TrueCrypt имеет эту функцию.

1 ответ1

1

Я не думаю, что есть что-то действительно чувствительное в .encfs6 (в настоящее время называется, раньше был .encfs5), соль и итерации в основном останавливают радужные таблицы и могут немного помочь с атакой по словарю, но если вы используете словарное слово в качестве ключевой фразы, это то, что действительно должно измениться.

Даже файлы, зашифрованные PGP/GPG, имеют хорошо видимую соль и количество, добавление -vv покажет их до того, как будет запрошена фраза-пароль:

$ gpg -vv sample.gpg 
:symkey enc packet: version 4, cipher 9, s2k 3, hash 2
    salt x0x0x0x0x0x0x0x0, count 99999 (99)
gpg: AES256 encrypted data
...

Если бы на самом деле была проблема безопасности с тем, чтобы такие данные были легко видны, PGP/GPG, безусловно, поступили бы иначе.

Ваши усилия могут быть лучше потрачены на поиск программы для чтения и использования ключевой фразы, хранящейся на смарт-карте / токене, даже автоматический ввод ее в любое нажатое окно может сработать, или макрос или что-то подобное?


Немного связано: Конфигурационный файл .encfs6 обязательно должен быть сохранен где-то в безопасном месте, если он был потерян, вам нужно будет попытаться угадать соль и параметры, чтобы вернуться в зашифрованные файлы, даже зная пароль, это не простая быстрая задача восстановить доступ.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .