Хранение конфигурационного файла EncFS в SmartCard / Token

641
Hikari

Я имел обыкновение хранить случайно сгенерированный ключевой файл в SmartCard, и TrueCrypt смог получить доступ к этому ключевому файлу, используя PKCS # 11.

Я пытаюсь EncFS сейчас. Некоторые люди жалуются на то, что некоторые данные шифрования (число итераций, соль и т. Д.) Хранятся в простом текстовом XML-файле. Эти данные ценны для взлома злоумышленником, поэтому люди предлагают сохранить файл в безопасном месте.

У меня тогда была идея сохранить его в SmartCard / Token. Файл XML имеет размер несколько байтов более 1 КБ, поэтому любая карта SmartCard должна иметь возможность его хранить.

Проблема заключается в том, что обычно эти ключевые файлы читаются непосредственно каждым приложением с помощью API PKCS # 11. В Windows я использую EncFSMP для обработки монтирования EncFS. Он имеет только флажок для настройки внешнего файла конфигурации и простой диалог открытия файла для выбора файла в обычной файловой системе. Там нет интерфейса PKCS # 11, как TrueCrypt.

У кого-нибудь есть идеи, как это можно сделать?

Я не нашел решения, я полагаю, что никто не будет создавать программное обеспечение для монтирования SmartCard в качестве диска Windows, чтобы оно имитировало файловую систему, и любое приложение могло читать ключевой файл, используя старый добрый fopen ().

Я считаю, что было бы возможно разработать графический интерфейс EncFS как EncFSMP, который поддерживает PKCS # 11 и читает ключевой файл и предоставляет его как XML-файл конфигурации для EncFS, но, конечно, нам нужен кто-то с навыками EncFS и PKCS # 11, чтобы сделать работа.

Если есть другое программное обеспечение, такое как eCryptFS, которое поддерживает ключевой файл SmartCard, я также хотел бы знать. До сих пор ничего не нашел, похоже, что только TrueCrypt имеет эту функцию.

0

1 ответ на вопрос

1
Xen2050

I don't think there is anything really sensitive in the .encfs6 (currently named, used to be .encfs5) file, the salt & iterations primarily stop rainbow tables, and may help slightly with a dictionary attack, but if you're using a dictionary word as a passphrase that's what really should change.

Even PGP/GPG encrypted files have the salt & count easily visible, adding -vv will reveal them before the passphrase is asked for:

$ gpg -vv sample.gpg :symkey enc packet: version 4, cipher 9, s2k 3, hash 2 salt x0x0x0x0x0x0x0x0, count 99999 (99) gpg: AES256 encrypted data ... 

If there were really a security concern with having such data easily visible, PGP/GPG would certainly be doing things differently.

Your efforts may be better spent finding a program to read & use the passphrase stored on a smart card/token, even automatically typing it into any clicked-on window may work, or a macro or similar?


Slightly related: The .encfs6 config file should definitely be backed up somewhere safe, if it were lost then you'd have to try guessing the salt & parameters to get back into your encrypted files, even knowing the passphrase it's not a simple quick task to recover access.

Интересно, спасибо за ответ. Как бы то ни было, я читал жалобы на EncFS, чтобы эти данные были легко доступны, и из-за этого заявляю, что eCryptFS более безопасен. Они также предлагают скрыть этот файл на USB-накопителе, и некоторые люди, кажется, делают это. На основании этих жалоб у меня была идея хранить этот файл в безопасном месте. Hikari 8 лет назад 0
Ваше описание помнит меня о KeePass, это то, что вы предлагаете? Я уже использую это. Я знаю, что у него есть плагин PKCS # 11, но никогда не использовал его. Hikari 8 лет назад 0
Если KeePass может получить доступ к смарт-карте / токенам, это будет отличная идея. И я часто слышал, что eCryptFS описывается как система шифрования файлов на основе pgp, поэтому я был бы удивлен, если бы у них не было так же легко увидеть их соли и числа / раунды. Я думаю, что это просто открытый текстовый файл `.encfs6`, который заставляет людей думать, что он менее безопасен, просто потому, что они могут читать его с помощью текстового редактора, забывая, что pgp делает то же самое. Если это достаточно хорошо для pgp, это достаточно хорошо для меня. [Вот вопрос о сокрытии соли] (http://tinyurl.com/bqfd4ay) (вероятно, не самый лучший, но выглядит полезным) Xen2050 8 лет назад 0
Хорошо, если PGP делает то же самое, пусть будет так. Благодарю. Hikari 8 лет назад 0

Похожие вопросы