PIM (Персональный множитель итераций)
PIM расшифровывается как "Персональный множитель итераций". Это параметр впервые появился в VeraCrypt 1.12,
его значение определяет количество итераций, используемых функцией формирования ключа заголовка. Это значение можно
указать в диалоговом окне пароля или в командной строке.
Если значение PIM не указано, будет использоваться количество итераций по умолчанию, применяемое в версиях до 1.12 (см.
Формирование ключа заголовка).
Если значение PIM указано, количество итераций вычисляется следующим образом:
- Для шифрования системы без использования SHA-512 или Whirlpool количество итераций = PIM × 2048
- Для шифрования системы с использованием SHA-512 или Whirlpool количество итераций = 15 000 + (PIM × 1000)
- Для шифрования несистемных разделов и файлов-контейнеров количество итераций = 15 000 + (PIM × 1000)
До версии 1.12 безопасность тома VeraCrypt основывалась только на надёжности пароля, поскольку VeraCrypt использовал
фиксированное количество итераций.
Благодаря реализации управления PIM у VeraCrypt появилось двумерное пространство безопасности для томов, основанное
на паре (Пароль, PIM). Это обеспечивает большую гибкость при настройке желаемого уровня безопасности, одновременно
контролируя производительность операции монтирования/загрузки.
Использование PIM
Указывать PIM не обязательно.
При создании тома или при смене пароля у пользователя есть возможность указать значение PIM, включив опцию
Использовать PIM, что, в свою очередь, сделает поле PIM доступным в графическом интерфейсе, чтобы
можно было ввести значение PIM.
PIM обрабатывается как секретное значение, которое пользователь должен вводить каждый раз вместе с паролем.
Если указано неверное значение PIM, операция монтирования/загрузки завершится ошибкой.
Чем больше PIM, тем выше безопасность, так как увеличивается число итераций, но тем медленнее
монтирование/загрузка.
Чем меньше PIM, тем быстрее монтирование/загрузка, но возможно ухудшение безопасности, если используется
слабый пароль.
Во время создания тома или шифрования системы VeraCrypt принудительно выставляет значение PIM большим
или равным определённому минимальному значению, если пароль меньше 20 символов. Эта проверка выполняется для
того, чтобы убедиться, что для коротких паролей уровень безопасности по крайней мере равен уровню по умолчанию,
когда PIM пуст.
Минимальное значение PIM для коротких паролей равно
98 для шифрования системы без использования
SHA-512 или Whirlpool, и
485 для других случаев. Для пароля, состоящего из 20 и более символов,
минимальное значение PIM равно
1.
Во всех случаях, если оставить PIM пустым или установить его значение равным 0, VeraCrypt будет использовать
большое количество итераций по умолчанию, как это объяснено в разделе
Формирование ключа заголовка.
Мотивами применения пользовательского значения PIM могут быть:
- добавление дополнительного секретного параметра (PIM), который злоумышленнику придётся угадывать;
- повышение уровня безопасности при использовании больших значений PIM, чтобы воспрепятствовать дальнейшему
развитию атак методом перебора;
- ускорение загрузки или монтирования за счет использования небольшого значения PIM (менее 98 для
шифрования системы без использования SHA-512 или Whirlpool, и менее 485 для других случаев)
На приведённых ниже снимках экрана показан шаг монтирования тома с использованием PIM, равного 231:
Изменение/очистка PIM
PIM тома или для шифрования системы можно изменить или очистить с помощью функции смены пароля.
На снимках экрана ниже показан пример изменения PIM со стандартного пустого значения на значение,
равное 3 (это возможно, поскольку пароль содержит более 20 символов). Для этого нужно сначала включить
опцию Использовать PIM в группе Новый, чтобы открыть поле PIM.
Пример с обычным томом
_VeraCrypt_ChangePIM_Step1.png) |
|
_VeraCrypt_ChangePIM_Step2.png)
|
Пример с шифрованием системы
_VeraCrypt_ChangePIM_System_Step1.png) |
_VeraCrypt_ChangePIM_System_Step2.png) |
Следующий раздел >>
_VeraCrypt_UsePIM_Step1.png)
_VeraCrypt_UsePIM_Step2.png)
