Truecrypt - Bästa sätt att skydda nycklar och lösenord

Du kan ha nycklarna på ett USB minne.

Efter att nycklarna laddats in i RAM minnet, så kan du ta ut ditt USB minne, och låsa in den i ett kassaskåp eller skicka det till ett bankvalv i Schweiz.

Jag har för mig att du kan använda vilken fil som helst som nyckel också. Så din nyckel kan vara en bild på din digital kamera, eller en låt på din MP3 spelare.

Jag har bara alla nycklar i huvudet och ingen annanstans. Dock så ligger dom ju på mitt RAM medans datorn är igång men kom igen, inte troligt att polisen kommer och kör cold-boot

Snyggt. Ligger scriptet i initrd ? kan du dela med dig?

Ja, nästa gång jag sätter mig vid min stationära och kommer ihåg detta.
Istället kanske du vill följa guiden på http://en.gentoo-wiki.com/wiki/SECURITY_System_Encryption_DM-... vilken går igenom allt i detalj, mycket rekommenderat.

En mycket bra sak med att låta den krypterade nyckeln ligga på ett usb-minne är dels att jag inte känner till nyckeln som krävs för att låsa upp partitionen, då jag skapade den med slumpmässig data, den andra fördelen är att även om jag blir torterad och någon vill åt min data så måste de ha usb-minnet med den krypterade nyckeln.

krypterad nyckel -> dekryptera nyckel med lösenord -> skicka till cryptsetup -> montera partition

Det enda jag själv känner till är lösenordet till nyckeln.

Vad händer om usb minnet pajjar?

Jag är själv på jakt efter ett crypt program till min Debian maskin, självklart ska den vara så säkert som möjligt men man ska ju kunna remote starta den utan att jag hela tiden är vid servern och petar in en usb sticka.

Om USB minnet pajjar, så har du ett extra USB minne i ett bankfack i Schweiz. Samt en begravd under hundkojjan.

Det är skillnad på lösenord och nycklar. Nyckeln är på tok för komplicerad att minnas utantill och lagring på USB-sticka medför ju vissa problem. Visst är det säkrare och en slags tvåfaktor-autentisering, men så länge fienden inte är världens samlade underrättelsetjänster så duger ett bra lösenord som enda autentisering.

Lösenordet används för att kryptera själva nyckeln som ligger i headern på TrueCrypt-containern/partitionen. Närmare bestämt så kör man lösenordet genom en s.k. key strengthening-algoritm som har två syften. Dels skapas en nyckel för att avkryptera själva huvudnyckeln i stället för att lösenordet används direkt. Algoritmen ökar entropin i nyckeln så den blir bättre pseudoslump. Det andra syftet är att denna operation tar en viss tid, i storleksordningen hundratals millisekunder upp till några sekunder. Detta gör att en attack mot ditt lösenord bara kan pröva några få lösenord per sekund. Att ge sig på nyckeln direkt går förvisso snabbare men är lönlöst, då denna har hög entropi och inte kan attackeras med annat än brute-force. Är nyckeln 128 bitar krävs i snitt 2^127 operationer för detta, vilket tar ungefär alla världens datorer universums ålder gånger tusen att genomföra - bara på en höft. Key strengthening-algoritmen använder bland annat en hash-funktion och det är därför man förutom krypteringsalgoritm även anger en hashfunktion när man sätter upp TrueCrypt.

Hur förvarar man då nycklar (snarare lösenord) på ett ansvarsfullt sätt? Det bästa är att memorera, vilket är enklare än man tror (men det varierar säkert från person till person). En sträng av blandade siffror och bokstäver med 14 tecken eller mer duger utmärkt. Ett sätt att hålla reda på flera lösenord i största allmänhet (helt oavsett om de används för TrueCrypt eller webmail eller whatever) är att använda en lösenordshanterare. Denna krypterar dina lösenord med ett huvudlösenord. Välj _ett_ bra lösenord och lär dig det, sedan kan du skydda hur många andra lösenord som helst med detta. Bra program för detta finns för både Windows och Linux. PasswordSafe, MyPasswordSafe och KeePass är några exempel på gratisprogam.

Undrar bara varför kan man inte ta bort den gamla partitionen som inte går och öppna? när man monterar den krypterade filerna så måste man döpa om dem och den gamla partition namnet vill jag få bort i utforskaren.

Kör Windows7 och det går inte montera C:\ programmet klagar på (windows is not installed on the drive from which it boots.this is not supported)?!!!

MVH
Rebom