information-security___it

Perchè AxCrypt è sicuro?

AxCrypt è sicuro perché si sforza di utilizzare solo pratiche e algoritmi accettati e non cerca di inventare nuovi algoritmi o metodi di crittografia. È anche open source; Chiunque può ispezionare il codice sorgente, controllare se ci sono errori, omissioni o back door. È stato utilizzato e sottoposto a controlli per le vulnerabilità per oltre 15 anni e provato da oltre 30 milioni di utenti, senza avere punti deboli noti.

Quanto è sicuro AxCrypt?

Questa domanda si riduce alle lunghezze effettive della chiave di crittografia. La lunghezza della chiave utilizzata è 128 o 256 bit - la ricerca esaustiva non è attualmente ritenuta un'opzione in entrambi i casi ed è computazionalmente irrealizzabile in termini crittografici. Il problema risiede nelle password utilizzate - questo è il punto debole. Di seguito puoi leggere ulteriori informazioni su cosa considerare quando scegli una password.

Considerazioni sulla password

AxCrypt utilizza AES-128 o AES-256 nella versione Premium - ma se vuoi raggiungere quel livello di sicurezza devi fornire 128 o 256 bit di dati veramente "casuali". è molto difficile da fare, ma il modo più semplice per avvicinarcisi è utilizzare il generatore di password incluso in Premium.

Per ottenere effettivamente 128 o 256 bit, in pratica dovrai salvare questa password in un file di testo, e mantenere quel file di testo segreto. Utilizzando la tipica lingua inglese in una password, 128 bit è approssimativamente equivalente a 10 parole casuali e 256 bit al doppio. Non usare frasi eloquenti e non usare assolutamente citazioni famose o anche ignote! Introducendo variazioni sul caso, oltre a caratteri non alfabetici puoi ridurre il numero di parole necessarie. Non è consigliabile utilizzare meno di 5 parole. Se utilizzi una selezione completamente casuale di lettere e cifre maiuscole e minuscole, sono necessari 22 caratteri per ottenere la sicurezza a 128 bit e quindi 44 caratteri per 256 bit. (Quanto sopra è una semplificazione del problema, ma dovrebbe essere d'aiuto.) La funzionalità di distruzione o cancellazione di AxCrypt consente di cancellare i file in modo da rendere impossibile recuperarne i contenuti con un software di ripristino. Tuttavia, ci sono alcuni avvertimenti:

• Il nome del file, così come la dimensione, possono essere ripristinati.

• Se il file è stato visualizzato o modificato con un' applicazione che crea copie temporanee del contenuto (come ad esempio Microsoft Office), le copie temporanee potrebbero essere ancora disponibili sul tuo disco rigido e potresti poter annullarne la cancellazione .

Consulta la sezione sulla sicurezza del PC locale per suggerimenti su come aumentare il margine di sicurezza per queste questioni.

Sicurezza del PC Locale

AxCrypt da solo non proteggerà il tuo PC locale da, ad esempio:

Esposizione dei dati dovuta a:

• Le tue applicazioni mantengono il testo in chiaro in memoria, che successivamente viene inserito nel file di pagina.

• Le tue applicazioni creano file temporanei che non sono correttamente cancellati.

• Lettura profonda dei dati del disco rigido sovrascritti con software personalizzato e apparecchiature di laboratorio.

Esposizione della password dovuta a:

• Riavvio intempestivo del computer e successiva crittoanalisi.

• Registratore di tasti, hardware o software.

Trascura di usare:

• Password forti, con AxCrypt o con la tua registrazione.

• Screen saver protetti da password.

Chiavi dell' Account

La chiave dell' account è ciò che consente l'implementazione di varie nuove funzionalità avanzate, come consentire ad altri membri del team di aprire file protetti con le proprie password. In termini tecnici, una chiave dell'account AxCrypt è costituita da una coppia di chiavi pubbliche composta da una parte pubblica (non segreta) e una privata (segreta) e alcuni altri metadati.

La chiave dell'account è sempre protetta anche con la tua password, sebbene una parte di essa non sia segreta e venga utilizzata per proteggere i file per te e il tuo team. Per te, il vantaggio è che puoi cambiare la password di tutti i file in un'unica operazione. Per i membri del tuo team, il vantaggio è che tu e il tuo team potete consentirvi a vicenda di aprire file protetti senza condividere password ma semplicemente specificando l'indirizzo e-mail dell'altro membro.

Chiunque può utilizzare il tuo indirizzo e-mail per consentirti di aprire un file protetto con la tua passphrase e puoi consentire a chiunque disponga di un indirizzo e-mail di aprire un file protetto da te. Tutto ciò è abilitato dalla parte pubblica della chiave dell'account disponibile sul nostro server.

Algoritmi

Le primitive crittografiche sono AES-128 o AES-256 per la crittografia di massa, PBKDF2 con HMAC-512 per la derivazione delle chiavi, RSA a 4096 bit per la chiave dell'account e HMAC-512 per il controllo dell'integrità.

Gli algoritmi utilizzati sono ritenuti sicuri in quanto tali, al meglio della nostra conoscenza, dal governo degli Stati Uniti e dalla comunità di Internet. Consulta il pacchetto documenti ed il codice sorgente per i dettagli.

Il wrapping della chiave della password viene eseguito utilizzando la specifica NIST per AES Key Wrap. La chiave derivata dalla password con PBKDF2-SHA512 viene utilizzata solo come chiave di crittografia della chiave.

Come contromisura della forza bruta, il key wrapping viene eseguito con almeno 5.000 iterazioni, aumentando lo sforzo di lavoro di circa 12 bit. Il conteggio effettivo delle iterazioni viene determinato dinamicamente, un valore tipico è compreso tra 25.000 e 100.000, aggiungendo 14-17 bit di lunghezza alla chiave effettiva. Più è veloce la macchina su cui installi AxCrypt - migliore è la sicurezza!

AxCrypt utilizza l'Advanced Encryption Standard con chiavi a 128 o 256 bit in modalità Counter con un IV 'randomico' per la crittografia dei dati.

Per la verifica dell'integrità AxCrypt utilizza HMAC-SHA512, ovvero il Codice di Autenticazione del Messaggio Hash che utilizza SHA-512 con uscita a 512 bit.

Il generatore di numeri pseudo-casuali (PRNG) utilizzato è principalmente il sistema operativo fornito, in alcuni casi con aggiunta di entropia.

Tuttavia, potrebbero esserci dei bug nella nostra implementazione - ecco perché è open source, in modo tale che tu e i nostri colleghi possiate controllarla e mantenerla sicura. Questo non dovrebbe essere considerato come un basso livello di fiducia nel nostro codice - chiunque ti dica che il proprio codice è impeccabile o è inesperto o mente.

AxCrypt è conforme a HIPAA?

Non esiste un software conforme a HIPAA. Solo le organizzazioni e le procedure possono essere conformi a HIPAA.

L'uso appropriato della crittografia e di altre Garanzie Tecniche è regolato dagli Standard di Sicurezza HIPAA, 45 CFR 160, 162 e 164. La sezione pertinente è 164.312 Garanzie Tecniche. Non vengono fornite raccomandazioni o requisiti riguardanti tecnologie di crittografia specifiche, è stato specificamente sottolineato che il regolamento è neutrale dal punto di vista tecnologico. Spetta a ciascuna organizzazione valutare la propria posizione e i propri rischi, e quindi implementare le specifiche richieste o indirizzabili.

Sebbene lo standard non si riferisca in alcun modo ad essa se non nei commenti, la CMS Internet Security Policy, che è la visione corrente di Centers for Medicare & Medicaid Services a proprio uso, specifica alcuni livelli tecnologici minimi per alcuni casi. AxCrypt soddisfa questi requisiti per la trasmissione su Internet - ma la tua organizzazione deve valutare in modo indipendente se è sufficiente utilizzare lo stesso livello di Centers for Medicare & Medicaid Services.

Le parti in cui AxCrypt può (e dovrebbe) essere sufficiente come (parte di) una Garanzia Tecnica sono:

• Controllo degli Accessi/Criptaggio e Decriptaggio - AES-128/AES-256

• Integrità/Autenticazione - Trasmissione HMAC-SHA-512

• Controlli di Sicurezza/Integrità, Crittografia AES-128/AES-256/HMAC-SHA-512

Lo Standard di Sicurezza HIPAA consente l'utilizzo della crittografia come base per il Controllo degli Accessi, cioè per proteggere la privacy dei dati a riposo (archiviati su un disco rigido anziché in transito su Internet, ad esempio). AxCrypt soddisferà anche la maggior parte dei requisiti delle organizzazioni in questo.