मैं अपने पूरे HDD को Truecrypt से एन्क्रिप्ट करता हूं, और फिर HDD से बूटलोडर को हटाने के लिए बचाव सीडी का उपयोग करता हूं। मेरे 2 सवाल हैं:
1) क्या HDD पर बूटलोडर होने का मतलब यह नहीं है कि पासवर्ड को bruteforce करने का प्रयास करना असंभव है?
2) अगर मेरे पास मेरे कंप्यूटर के पास एक DBAN सीडी है, तो यह कहना प्रशंसनीय है 'मैं सिर्फ DBD के साथ HDD कोड़ा मारता हूं क्योंकि मैं एक पुनर्स्थापना करने वाला हूं?
धन्यवाद।
जवाबों:
मैं सुरक्षा विशेषज्ञ नहीं हूं। मेरी सारी सलाह एक मुट्ठी भर नमक के साथ लें, जहाँ सुरक्षा की मात्रा के साथ हाथ का आकार विभिन्न हो।
मेरा मानना है कि यह मामला है, लेकिन ट्रू क्रिप्टेक के विशेषज्ञ नहीं हैं। बेशक, आपको कंप्यूटर को बूट करने के लिए उपलब्ध बचाव डिस्क की आवश्यकता है, इसलिए यदि कोई हमलावर पाता है, तो वे अभी भी पासवर्ड को बाध्य करने का प्रयास कर सकते हैं।
हालाँकि यह ट्रू-क्रिप्टि के लक्ष्यों में से एक है (उनके प्रशंसनीय परिवर्तनशीलता पृष्ठ पर दूसरा बिंदु देखें), मुझे यकीन नहीं है कि यह दो कारणों से प्रशंसनीय होगा। पहला यह है कि यदि आप केवल बूटलोडर को हटाते हैं और इसे यादृच्छिक डेटा से प्रतिस्थापित नहीं करते हैं, तो जाहिर है कि कुछ चल रहा है। शायद सीडी बूटलोडर को यादृच्छिक डेटा से बदल देता है, इसलिए यह कोई मुद्दा नहीं है; यदि नहीं, तो इसे एक अलग तरीके से यादृच्छिक डेटा के साथ बदलना संभव होगा। दूसरा मुद्दा यह है कि आपको अपने कंप्यूटर के पास ट्रू-क्रिप्ट सीडी रखने की आवश्यकता है, ताकि आप अभी भी कंप्यूटर को बूट कर सकें। यह प्रशंसनीय विकृतीकरण को सीमित कर सकता है। इसके आस-पास एक तरीका यह हो सकता है कि बूटिंग को छोड़कर, हर समय कंप्यूटर के अंदर DBAN CD हो, और ट्रू क्रिप्टक्रिप्ट पास के पास होना चाहिए। यह कहें कि हार्ड ड्राइव में पहले ट्रू क्रिप्ट वॉल्यूम था, लेकिन अब ऐसा नहीं है, जैसा कि आपने इसे मिटा दिया है। यह अभी भी थोड़ा संदिग्ध है: डेटा के पहले से एन्क्रिप्टेड होने पर DBAN का उपयोग करने में परेशान क्यों?
यह बताने के लिए कि क्या ट्रू-क्रिप्ट रेस्क्यू सीडी बूट लोडर को यादृच्छिक डेटा से बदल देता है, कुछ लिनक्स लाइव सीडी या यूएसबी ड्राइव से बूट करें और निम्न कमांड चलाएं:
dd if=/dev/sda bs=512 count=1 | hexdump | tail
यदि परिणाम कचरे का एक गुच्छा है जो 55aa में समाप्त नहीं होता है, तो यह यादृच्छिक डेटा है। यदि यह 55aa में समाप्त होता है, तो यह एक वैध बूटलोडर है। अगर यह होता है
0000000 0000 0000 0000 0000 0000 0000 0000 0000
*
0000200
तब बूटलोडर ट्रैक को शून्य के साथ लिखा गया था (मुझे पूरा यकीन है कि आप यह बता सकते हैं), और आपको इसे यादृच्छिक रूप से अपने आप से बदलने की आवश्यकता है। इससे पूरा किया जा सकता है
dd if=/dev/urandom of=/dev/sda bs=512 count=1
नोट: मैंने यह आदेश नहीं चलाया है। यह बूटलोडर से अधिक के लिए यादृच्छिक डेटा लिख सकता है, और यह आपके सिस्टम को अनबूटेबल बना सकता है। देखभाल के साथ प्रयोग करें! यह भी ध्यान दें कि / dev / urandom / dev / random के रूप में सुरक्षित नहीं है, लेकिन बाइट्स के इस छोटे अनुक्रम के लिए आपको उच्च-गुणवत्ता वाले यादृच्छिक डेटा की आवश्यकता नहीं है।
अब, यह सुनिश्चित करने के लिए कि यह 55a में समाप्त नहीं होता है, पहले कमांड को चलाएं। यह अत्यधिक संभावना नहीं है, लेकिन संभव है, इसलिए यह सुनिश्चित करना सबसे अच्छा है। बेहद कम (1 से अधिक 65 हजार में) मौका है कि यह करता है, बस दूसरी कमान फिर से चलाते हैं।
अब, आपके पास एक पूरी तरह से यादृच्छिक डिस्क है जो DBAN के साथ उत्पन्न हो सकती थी। यदि कोई इस डिस्क को मशीन में DBAN डिस्क के साथ देखता है, तो वे मान लेंगे कि यह एक यादृच्छिक हार्ड डिस्क है। वे आपको इस पर OS स्थापित करने के अपने दावे के माध्यम से अनुसरण कर सकते हैं, लेकिन वे यह साबित करने में सक्षम होने की बहुत संभावना नहीं है कि वहां एक Truecrypt वॉल्यूम है।
मुझे उम्मीद है कि इससे मदद मिली, लेकिन फिर से, मैं हूं नहीं एक सुरक्षा विशेषज्ञ।