Speichern der EncFS-Konfigurationsdatei in SmartCard / Token

707
Hikari

Ich habe eine zufällig generierte Schlüsseldatei in einer SmartCard gespeichert, und TrueCrypt konnte mit PKCS # 11 auf diese Schlüsseldatei zugreifen.

Ich versuche jetzt EncFS. Einige Leute beschweren sich darüber, dass sie einige ihrer Verschlüsselungsdaten (Iterationsnummer, Salt usw.) in einer Klartext-XML-Datei gespeichert haben. Diese Daten sind für einen Angreifer wertvoll, um sie zu hacken. Daher wird empfohlen, die Datei an einem sicheren Ort zu speichern.

Ich hatte dann die Idee, es in einer SmartCard / Token zu speichern. Die XML-Datei hat einige Bytes von mehr als 1 KB, daher sollte sie von jeder SmartCard gespeichert werden können.

Das Problem ist, dass diese Schlüsseldateien normalerweise von jeder App mithilfe der PKCS # 11-API direkt gelesen werden. In Windows verwende ich EncFSMP zur Handhabung des EncFS-Einbaus. Es gibt nur ein Kontrollkästchen für die externe Konfiguration der Konfigurationsdatei und ein einfaches Dialogfeld "Datei öffnen" zur Auswahl der Datei im normalen Dateisystem. Es gibt keine PKCS # 11-Schnittstelle wie bei TrueCrypt.

Hat jemand eine Idee, wie das funktionieren könnte?

Ich google und habe keine Lösung gefunden. Ich denke, niemand würde eine Software zum Mounten einer SmartCard als Windows-Laufwerk erstellen, so dass ein Dateisystem emuliert wird und jede App eine Schlüsseldatei mit gutem alten fopen () lesen kann.

Ich glaube, es wäre möglich, eine EncFS-GUI als EncFSMP zu entwickeln, die PKCS # 11 unterstützt und die Schlüsseldatei liest und als Konfigurations-XML für EncFS bereitstellt, aber natürlich benötigen wir jemanden mit EncFS- und PKCS # 11-Fähigkeiten die Arbeit.

Wenn es eine andere Software wie eCryptFS gibt, die SmartCard-Schlüsseldatei unterstützt, würde ich auch gerne wissen. Bisher nichts gefunden, scheint nur TrueCrypt diese Funktion zu haben.

0

1 Antwort auf die Frage

1
Xen2050

Ich glaube nicht, dass etwas in der Datei .encfs6(derzeit benannt, früher war .encfs5) wirklich sensibel ist. Die Salt & Iterationen stoppen in erster Linie Regenbogentabellen und können bei einem Wörterbuchangriff etwas helfen, aber wenn Sie ein Wörterbuchwort als verwenden eine Passphrase, die sich wirklich ändern sollte.

Selbst bei PGP / GPG-verschlüsselten Dateien ist der Salt & Count leicht sichtbar. Durch das Hinzufügen -vvwerden sie angezeigt, bevor nach der Passphrase gefragt wird:

$ gpg -vv sample.gpg  :symkey enc packet: version 4, cipher 9, s2k 3, hash 2 salt x0x0x0x0x0x0x0x0, count 99999 (99) gpg: AES256 encrypted data ... 

Wenn es wirklich ein Sicherheitsbedenken geben würde, dass solche Daten leicht sichtbar sind, würde PGP / GPG dies sicherlich anders machen.

Ihre Bemühungen könnten besser darauf verwendet werden, ein Programm zu finden, um die auf einer Smartcard / einem Token gespeicherte Passphrase zu lesen und zu verwenden, sogar das automatische Eintippen in ein angeklicktes Fenster oder ein Makro oder ähnliches?


Leicht im Zusammenhang: Die .encfs6Konfigurationsdatei auf jeden Fall sollte gesichert irgendwo sicher, wenn es verloren wurde dann würden Sie das Salz & Parameter versuchen müssen, zu raten in Ihre verschlüsselten Dateien zurück zu bekommen, auch das Passwort zu wissen, es ist nicht einfach ein schnelle Aufgabe zu erholen Zugriff.

Interessant, danke für die Antwort. Wie auch immer, ich habe Beschwerden über EncFS gelesen, weil diese Daten leicht zugänglich sind, und behauptet, dass eCryptFS aus diesem Grund sicherer ist. Sie schlagen auch vor, diese Datei auf einem USB-Laufwerk zu verbergen, und manche Leute scheinen es zu tun. Aufgrund dieser Beschwerden hatte ich die Idee, diese Datei an einem sicheren Ort zu speichern. Hikari vor 8 Jahren 0
Ihre Beschreibung erinnert mich an KeePass. Ist das, was Sie vorschlagen? Ich benutze es schon. Ich weiß, es hat ein PKCS # 11-Plugin, habe es aber noch nie verwendet. Hikari vor 8 Jahren 0
Wenn KeePass auf Chipkarten / Token zugreifen kann, wäre dies eine ausgezeichnete Idee. Ich habe oft gehört, dass eCryptFS als pgp-basiertes Dateiverschlüsselungssystem bezeichnet wird. Ich wäre also überrascht, wenn sie ihre Salt & Count / Rounds nicht ohne weiteres sehen würden. Ich denke, es ist nur die Klartextdatei ".encfs6", die die Leute für weniger sicher hält, nur weil sie sie selbst mit einem Texteditor lesen können. Das Vergessen von pgp macht dasselbe. Wenn es für PGP gut genug ist, ist es gut genug für mich. [Hier ist ein Q über das Verstecken von Salz] (http://tinyurl.com/bqfd4ay) (wahrscheinlich nicht das beste, sieht aber hilfreich aus) Xen2050 vor 8 Jahren 0
Wenn PGP dasselbe tut, dann sei es so. Vielen Dank. Hikari vor 8 Jahren 0