Armazenando o arquivo de configuração do EncFS no SmartCard / Token

0

Eu costumava armazenar um arquivo-chave gerado aleatoriamente em um SmartCard e o TrueCrypt era capaz de acessar esse arquivo-chave usando o PKCS # 11.

Estou tentando o EncFS agora. Algumas pessoas reclamam que ele armazena alguns de seus dados de criptografia (número de iterações, salt, etc) em um arquivo XML de texto simples. Esses dados são valiosos para um adversário hackeá-lo, portanto, as pessoas sugerem salvar o arquivo em um local seguro.

Eu tive a idéia de armazená-lo em um SmartCard / Token. O arquivo XML tem alguns bytes acima de 1KB, portanto, qualquer SmartCard deve poder armazená-lo.

O problema é que, geralmente, esses arquivos-chave são lidos diretamente por cada aplicativo usando a API PKCS # 11. No Windows, estou usando o EncFSMP para manipular a montagem do EncFS. Ele possui apenas uma caixa de seleção para configurar o arquivo de configuração como externo e um simples diálogo Abrir Arquivo para selecionar o arquivo no sistema de arquivos normal. Não há interface PKCS # 11 como TrueCrypt tem.

Alguém tem alguma ideia de como isso poderia funcionar?

Eu pesquisei no Google e não encontrei nenhuma solução, suponho que ninguém criaria um software para montar um SmartCard como uma unidade do Windows, para que ele emule um sistema de arquivos e qualquer aplicativo pudesse ler um arquivo-chave usando o bom e velho fopen ().

Eu acredito que seria possível desenvolver uma GUI EncFS como EncFSMP, que suporta o PKCS # 11 e lê o keyfile e o fornece como o XML de configuração para EncFS, mas é claro que precisaríamos de alguém com EncFS e PKCS # 11 habilidades para fazer o trabalho.

Se houver outro software como o eCryptFS que suporte o arquivo de chave do SmartCard, também gostaria de saber. Não encontrei nada até agora, parece que apenas TrueCrypt tem esse recurso.

    
por Hikari 17.01.2016 / 13:14

1 resposta

1

Eu não acho que haja nada realmente sensível no arquivo .encfs6 (atualmente nomeado, costumava ser .encfs5 ), o salt & as iterações param principalmente as tabelas de arco-íris e podem ajudar um pouco com um ataque de dicionário, mas se você estiver usando uma palavra de dicionário como uma frase-senha, isso realmente deve mudar.

Até mesmo arquivos criptografados com PGP / GPG têm o & sal & contar facilmente visível, adicionando -vv irá revelá-los antes que a senha seja solicitada:

$ gpg -vv sample.gpg 
:symkey enc packet: version 4, cipher 9, s2k 3, hash 2
    salt x0x0x0x0x0x0x0x0, count 99999 (99)
gpg: AES256 encrypted data
...

Se houvesse realmente uma preocupação de segurança em ter esses dados facilmente visíveis, o PGP / GPG certamente estaria fazendo as coisas de maneira diferente.

Seus esforços podem ser mais bem aproveitados para encontrar um programa para ler & usar a senha armazenada em um cartão inteligente / token, mesmo digitando automaticamente em qualquer janela clicada pode funcionar, ou uma macro ou similar?

Ligeiramente relacionado: O arquivo de configuração .encfs6 deve definitivamente ser copiado para backup em algum lugar seguro, se ele for perdido, você terá que tentar adivinhar o salt & parâmetros para voltar aos seus arquivos criptografados, mesmo sabendo que a senha não é uma tarefa rápida e simples de recuperar o acesso.

    
por 18.01.2016 / 19:44