磁盘加密的双因素认证与可信否认

Question

对于最常见的磁盘加密程序(如Veracrypt或LUKS/dmcrypt )，您能证明像yubikey或USB磁盘上的密钥文件这样的第二个因素是必需的吗？如果不是这样的话，最终用户能做些什么吗？比如一些配置选项？

在一些国家，有一些关键的信息披露法，如果可能的话，你可以声称狗吃了它。他们可能还是不会相信你，但无论如何。

Answer 1

不可能知道是否需要密钥文件。从攻击者的角度来看，无法解密驱动器是没有区别的，因为它们在密码中只差一个字母，而它们丢失了整个密钥文件。他们所知道的就是他们无法解密。事实上，如果我给你的硬盘上有真正随机的(非常高的熵，每字节8位)数据，你就无法知道我是否用密码、密码和密钥文件加密了它，或者它根本没有加密，只是被删除了。

当您使用密钥文件时，它将与密码混合。然后，这将用于派生解密头以检索主密钥的密钥。因此，密钥文件可以看作是密码的扩展名。