TrueCrypt Šifrovanie diskov Vladimír Tkáč

Motivácia Ochrana citlivých údajov Súkromie Vysoká cena informácií cena informácií >>> cena média (zariadenia) Riešenie: obmedzenie prístupu (fyzické, SW) šifrovanie

Troška teórie Bloková šifra symetrické šifrovanie pracuje s pevným počtom bitov= Blok rozdelenie veľkých správ do blokov dopĺňanie (padding) meta-prúdová šifra AES (Advanced Encryption Standard) (3)DES (Data Encryption Standard) Twofish ...

Troška teórie: Mód ECB ECB (Electronic codebook)

Troška teórie: Mód ECB(2) Nevýhody ECB Vzory – rovnaké bloky šifrovanej správy sa prekladajú rovnako Žiadna kontrola integrity - (možná zámena blokov)

Troška teórie: Mód CBC CBC (Cipher-block chaining)

Troška teórie: Mód CBC(2) zašifrovanie: odšifrovanie: Výsledok

Troška teórie: Ostatné módy LRW (Liskov-Rivest-Wagner) primárny a sekundárny kľúč modifikácia sekundárneho kľúča podľa pozície bloku => šifrovanie blokov na rôznej pozícií rôznymi kľúčmi XEX (Xor-Encrypt-Xor) rozdelenie jedného kľúča na dve časti XTS XEX, TCB (Tweaked CodeBook), CTS (CipherText Stealing) XEX+TCB+CTS=XTS (XTC)

TrueCrypt open source (TrueCrypt License) Multiplatformový Max. veľkosť šifrovaného disku = 1,048,576GB (1PB) Po inštalácii ~6MB Funkcie: OTFE (on-the-fly encryption ) súborové zväzky (file-hosted container ) šifrovanie systémového disku skryté zväzky (hidden volume) cestovný disk (traveller disk)

D. Whiting, D. Wagner, C. Hall, TrueCrypt: Algoritmy Algorithm Designer(s) Key Size (Bits) Block Size (Bits) Mode of Operation AES J. Daemen, V. Rijmen 256 128 XTS Serpent R. Anderson, E. Biham, L. Knudsen Twofish B. Schneier, J. Kelsey, D. Whiting, D. Wagner, C. Hall, N. Ferguson AES-Twofish 256; 256 AES-Twofish-Serpent 256; 256; 256 Serpent-AES Serpent-Twofish-AES Twofish-Serpent

TrueCrypt: Princíp Vytvorenie nového disku: výber blokovej šifry pre šifrovanie dát (hlavičky a dátových sektorov) v móde XTS výber hashovacieho algoritmu Whirlpool, SHA-512, RIPEMD-160 vytvorenie hlavičky, naformátovanie informácia o algoritmoch sa nikde neukladá! Otvorenie existujúceho disku: rekonštrukcia algoritmov (skúšanie všetkých) overenie správnosti dešifrovanie hlavičky získanie prístupu k dátam (cez kľúč v hlavičke)

TrueCrypt: Hlavička prvých 512B na každom disku vytvorenom TrueCryptom Offset (bytes) Size (bytes) Encryption Status Description   0  64   Not Encrypted  Salt 4   Encrypted  ASCII string “TRUE” 68  2   Volume header format version 70   Minimum program version required to open the volume 72   CRC-32 checksum of the (decrypted) bytes 256-511 76  8   Volume creation time 84   Header creation/modification time 92   Reserved (set to zero) 100   Size of the volume 108   Byte offset of the encrypted area 116   Size of the encrypted area 124  132  256  Var.  Concatenated primary and secondary master keys 512   Data area (virtual volume contents)

TrueCrypt: Sprievodca Vytvorenie šifrovaného disku:

Cold Boot Attack Vývojári z Prinstonskej Univerzity a Electronic Frontier Foundation Pri šifrovaní on-the-fly je heslo uložené v RAM Priamy prístup k RAM cez rozhranie firewire V niektorých notebookoch sa po reštartovaní uchováva obsah RAM až 1min => boot z externého disku, získanie obsahu RAM Zmrazenie RAM na -50°C a prenos do iného zariadenia (do 10min) útoku bol úspešne vyskúšaný na Apple FileVault, Microsoft BitLocker, Truecrypt a linuxovom dm- crypt.

Koniec Ďakujem za pozornosť 

Zdroje http://www.truecrypt.org/docs/ http://cryptography.hyperlink.cz/2007/ST_2007_07_18_18.pd f http://crypto-world.info/klima/2003/st_2003_12_18_19.pdf http://en.wikipedia.org/wiki/Block_cipher_modes_of_operati on http://en.wikipedia.org/wiki/Disk_encryption_theory http://www.root.cz/clanky/truecrypt-profesionalni-ochrana- dat-zdarma/ http://citp.princeton.edu.nyud.net/pub/coldboot.pdf http://youtube.com/watch?v=JDaicPIgn9U