Veracrypt

Как я понимаю, что это обычный подбор пароля

С сайта программы:

Распределённое восстановление паролей Elcomsoft Distributed Password Recovery – высокопроизводительное решение для восстановления паролей к различным типам файлов >(список поддерживаемых форматов). Программа построена по принципу «клиент-сервер» и позволяет задействовать для перебора паролей >все имеющиеся компьютеры.

при нормальном пароле с длиной > 20 все равно только паяльник работает?

А у них такой большой выбор?

• Попытаться взломать шифрование и потратить на это много милионов лет.
• Работать с RAM, в которой пароль может быть, а может и нет.
• Взломать владельца контейнера.

Если они нашли дыру в VeraCrypt, то конечно же они всем об этом расскажут.

По факту, без анализа их кода ты ничего толком не узнаешь.

Как я понимаю, что это обычный подбор пароля и при нормальном пароле с длиной > 20 все равно только паяльник работает?

Сдаётся мне, что если вы только не являетесь хотя-бы Эдиком Сноуденом (как минимум), то волноваться о сложности паролей и паяльнике - не стоит. В случае если вас захотят посадить - они это сделают. Наличие компуктера, а уж тем более шифрованных дисков - не важно.

• Ускорение перебора с использованием графических акселераторов в 20-250 раз
  
• Поддержка видеокарт с графическими акселераторами NVIDIA и AMD, а также >графических ядер, встроенных в процессоры Intel
  
• Линейное масштабирование и линейный рост производительности при >использовании до 10,000 рабочих станций
  
• Поддержка облачных вычислений с быстрым развёртыванием дополнительных >мощностей в сервисах Amazon EC2 и Microsoft Azure
  

Ты всё понял правильно. Пароль С ВЫСОКОЙ ЭНТРОПИЕЙ(не тождественно длине пароля, зависит от его «случайности» т.е. того, насколько сложно «угадать» каждый символ) и модификатором PIM >9000 надёжно защитит от подобного. А если ещё использовать ключевые файлы...

а если длинный пароль, но человеко-читаемый, например фраза + пару символов и цифр где нибудь в середине, норм ?

Сдаётся мне, ты нифига не знаешь, зачем может понадобиться шифрование диска.

Нет. Например, пароль в виде сотни-другой одинаковых латинских букв будет иметь очень низкую энтропию, со вкраплениями случайных символов станет лучше, но тогда под вопросом вообще смысл использования этих одинаковых букв(соотношение безопасность/читаемость/удобность, см треугольник Зуко, но вместо «децентрализации» поставить «независимость от менеджера паролей»). Сегодня, конечно, повсеместно применяется многократный прогон хешей, но это, хотя и помогает в случае применения слабых паролей, всё же не является панацеей(не является ей и соль при атаке KEK). Стремиться надо к тому, чтобы противник вынужден был перебирать вообще все возможные значения.

Если ёмко отвечать: стойкость пароля к перебору можно определить как максимальное_время_успешной_атаки = 2^n * t, где n - количество энтропии(бит), t - время «апробации» одной попытки подбора. Многократное хеширование помогает усилить часть t, но слабость n даёт о себе знать тем сильнее, чем относительно сильнее t.

Более подробно по теме можно почитать тут. Но это далеко не исчерпывающий материал.

Относительно неплохой вариант - использование подогнанного под себя 1337-жаргона. Но псевдослучайный пароль несравнимо надёжнее.

все равно только паяльник работает

Паяльник они обычно применяют не для узнавания пароля (он им нахрен не нужен), а для того, что бы ты подписал явку с повинной.

а если длинный пароль, но человеко-читаемый, например фраза + пару символов и цифр где нибудь в середине, норм ?

Было какое-то уголовное дело, когда арестованный хакер-вымогатель забыл 20-символьный пароль. Белорусское КГБ утверждало, что смогли его подобрать по словарю за разумное время (от минут до дней, точно не помню). Подробностей не приводили.