HDD criptografado 100% seguro?

A resposta curta é: NÃO!

Nenhuma medida de segurança é segura por si só, pois pode conter erros / vulnerabilidades / etc. Pode resistir a um único método (por exemplo, força bruta) para contornar a proteção, mas pode haver uma combinação de métodos que pode não ser capaz de resolver.

O Truecrypt era (ou ainda é?) vulnerável a " ataques de inicialização a frio " :

Passwords stored in memory

TrueCrypt stores its keys in RAM; on an ordinary personal computer the DRAM will maintain its contents for several seconds after power is cut (or longer if the temperature is lowered). Even if there is some degradation in the memory contents, various algorithms can intelligently recover the keys. This method, known as a cold boot attack (which would apply in particular to a notebook computer obtained while in power-on, suspended, or screen-locked mode), has been successfully used to attack a file system protected by TrueCrypt.

Leitura adicional em " Preocupações com a segurança TrueCrypt ".

Se você tem todos os caracteres ASCII, francamente, ainda é possível - mas altamente improvável.

De acordo com o link , seriam necessários 314 trigintos por ano para que um computador desktop normal decifre sua senha. Isso é várias ordens de grandeza maior do que o tempo restante na existência do Universo . Eu acho que você está coberto na frente da força bruta.

Apenas por diversão:

1 trigintillion = 1,000,000,000,000,000,000,000,000,000,000,
                  000,000,000,000,000,000,000,000,000,000,000
                  000,000,000,000,000,000,000,000,000,000

No trabalho, lidamos diariamente com criptografia de disco rígido. A verdade é que o tipo de criptografia que você tem em sua unidade provavelmente é muito suficiente para um usuário doméstico. Eu tenho o mesmo sentimento de estar paranóico com todos os meus dados, e TrueCrypt me satisfaz.

No entanto, a verdadeira criptografia para os discos rígidos tem que estar no nível do hardware. Procura unidades Stonewood (Flagstones) na rede. Eles oferecem criptografia completa de hardware com um máximo de 5 tentativas antes de bloquear, e depois mais 5 antes de destruir completamente a unidade de acordo com os padrões governamentais.

Em resposta a "Pode ser forçado a brute" :

Existem 95 caracteres ASCII imprimíveis (incluindo espaço), portanto, existem 95 ⁶⁴ senhas de 64 caracteres possíveis. Isso é 3.75 x 10 ¹²⁶ , que tem mais de 420 bits de segurança. Em comparação, os 128 bits são considerados seguros a partir de força bruta para uma chave AES, e 265 bits é suficiente para atribuir um valor diferente a cada átomo no universo visível.

Então, sim, sua senha é absolutamente segura contra força bruta. Na verdade, supondo que você esteja usando AES-256, sua senha de 64 caracteres não oferece segurança extra sobre uma senha de 39 caracteres , porque depois desse ponto seria mais rápido apenas forçar a chave brutalmente.

Se a sua senha for suficientemente aleatória, conforme BlueRaja detalhou, você está a salvo de um ataque de força bruta.

No entanto, existe uma abordagem ligeiramente mais strong e certamente menos dolorosa que pode estar disponível para você (eu digo "pode" porque eu não estou suficientemente familiarizado com TrueCrypt; eu uso essa abordagem com um LUKS / AES-256 dirigir). Desbloqueie a unidade com uma chave privada em vez . Armazene essa chave em uma unidade USB. Bloqueie essa chave com uma senha (não precisa ser excessivamente complexa) e você estará efetivamente no Nirvana de dois fatores.

Para o verdadeiramente paranóico , existem vetores de ataque além de um ataque de inicialização a frio:

1. Um persistente ataque no setor de inicialização . Por exemplo:

   Um cara mau, que tem acesso físico à sua máquina, pode substituir o gerenciador de inicialização TrueCrypt por um malicioso. Ele pareceria e agiria de forma bastante semelhante ao TrueCrypt, permitindo que você desbloqueie e acesse sua unidade criptografada, mas armazenaria sua frase secreta para recuperação posterior pelo vilão. Eu não testei isso, mas li que existe uma ferramenta dessa natureza:

   link

   (Novamente, não sei se o TrueCrypt suporta isso, mas ...) Uma solução decente para isso é colocar o setor de inicialização e o carregador de boot não criptografado em uma unidade USB. Presumivelmente, você mantém isso em sua pessoa. (Para maior segurança, use uma unidade USB com criptografia de hardware).

2. Um registrador de chaves ou gravação de vídeo de você digitando sua senha. Usar uma chave baseada em unidade USB protegeria você contra isso (até que um invasor modifique seu hardware para monitorar o USB / barramento de dados / memória de sua máquina. Isso, suponho, é improvável ...)

Referência vetorial de ataque de criptografia legal: link

A pergunta certa é qual é o risco que você está tentando atenuar e a criptografia HD é suficiente para reduzir a um nível aceitável. Se você está armazenando planos de super secreto para dominar o mundo, talvez precise de mais ou menos segurança do que se estivesse protegendo seus dados financeiros pessoais (ou pr0n stash).

Os seres humanos são horríveis ao avaliar o verdadeiro nível de risco associado a uma atividade. É provável que, se alguém roubar seu laptop, ele esteja mais interessado em reutilizá-lo do que em obter os dados (a menos que você tenha esses planos super secretos ...)

A propósito, você pode até esconder alguns volumes criptografados por trás de arquivos de filmes falsos:

Qualquer coisa pode ser quebrada / hackeada / contornada / ...
Nem todo mundo pode fazer isso (a maioria das pessoas não pode), mas sempre há pessoas por aí que podem fazer um pouco mais do que o usuário de computador avarage.

Você corre muito mais risco de um vírus em seu computador que acessa a unidade desbloqueada ou exibe dados em texto puro "em voo".