Recientemente instalé 11.10 en un disco nuevo usando encriptación de disco completo. ¿Alguien puede decirme qué tan seguro es el algoritmo de cifrado? ¿Ha habido infracciones recientes con dicho algoritmo? Utilizo una frase de contraseña aleatoria de 36 caracteres, así que sé que no es un enlace débil. ¿Cuáles son las posibilidades de que los datos de mi cliente puedan verse comprometidos si se roba el disco duro?
encryption
luks
ceja
fuente
fuente
Respuestas:
Sí, es seguro Ubuntu usa AES-256 para encriptar el volumen del disco y tiene una respuesta de cifrado para ayudar a protegerlo de ataques de frecuencia y otros ataques que apuntan a datos encriptados estáticamente.
Como algoritmo, AES es seguro y esto se ha demostrado mediante pruebas de análisis de criptas. La debilidad en realidad reside en el cifrado y el software para pasarle las claves. Específicamente se encuentra en el almacén de claves (que se almacena en el encabezado del volumen), el almacén de claves está protegido por una frase de contraseña. Las frases de contraseña están, por supuesto, abiertas a algunos ataques, como diccionario / fuerza bruta (si esto fuera exitoso, descifraría el almacén de claves). El uso de contraseñas largas "complejas" que no sean palabras reduciría la posibilidad de que esto ocurra.
La única otra posibilidad de descifrar es usar dispositivos de grabación o ingeniería social para determinar su frase de contraseña.
En resumen, ¡su computadora es razonablemente segura a menos que esté sujeto a un delito cibernético organizado serio o investigación gubernamental!
fuente
Aquí hay dos recursos sobre ataques en este tipo de sistema de archivos que parecen ser interesantes: http://dx.eng.uiowa.edu/dave/luks.php http://www.jakoblell.com/blog/2013/12 / 22 / practico-maleabilidad-ataque-contra-cbc-encrypted-luks-partitions /
En resumen, el último documento describe que es posible inyectar una puerta trasera de ejecución remota de código en la configuración LUKS creada por el instalador Ubuntu 12.04. Este ataque solo necesita acceso al disco duro cifrado (no depende de la manipulación de la
/boot
partición no cifrada o el BIOS).Si bien el ataque es bastante malo, no se aplica a las configuraciones modernas de LUCS. El ataque solo se puede aplicar si el modo de bloqueo es
CBC
, por ejemplo, siaes-cbc-essiv
se utiliza el cifrado . Las configuraciones modernas usan otros modos de bloque, como el cifradoaes-xts-plain64
(consulte este artículo en la wiki de ArchLinux ).Para verificar qué cifrado utiliza su configuración, ejecute:
¿Dónde
[device]
está tu mapeo/dev/mapper/sda3_crypt
?fuente
He creado un programa de Windows que realizará un ataque de diccionario en los volúmenes de Luks. http://code.google.com/p/luks-volume-cracker/
Es lento por diseño, probando alrededor de 3 teclas por segundo. Otros ataques del diccionario serán igualmente lentos, por lo que, a menos que haya elegido una frase de contraseña fácil, la debilidad no será el algoritmo.
Sin embargo, tenga en cuenta el robo de claves de la memoria y el almacenamiento en caché de archivos.
fuente
El método de cifrado LUKS es potencialmente inseguro, al menos en la forma en que maneja el proceso de cifrado. Vamos a darle el beneficio de la duda de que los algoritmos son seguros y podemos compararlos con el código de algoritmo que ha sido auditado. Dejando eso de lado, como usuario, no puedes crear una clave que encripte tus datos. Eso es como decirle a alguien, hey, inventaré una contraseña que encripte tu cuenta bancaria, no a ti. Pero, seré tan amable de dejarte inventar una contraseña que encripte mi contraseña. Existe la debilidad de seguridad con LUKS tal como lo veo.
LUKS usa una clave maestra o lo que llaman una clave unificada. Esta clave se genera utilizando los programas 'aleatorio' y 'urandom' instalados en el sistema Linux. Si estos programas se ven comprometidos de alguna manera, su llave maestra se debilita. No importa cuán fuerte sea su contraseña, el método de creación de la Clave maestra crea una vulnerabilidad.
Compare esto con TrueCrypt, que misteriosamente se apagó durante las mayores filtraciones contra el espionaje estadounidense. Los volúmenes TrueCrypt que se han cifrado correctamente de acuerdo con la documentación de TrueCrypts no se han dividido. El gobierno arrojó todo el dinero de los contribuyentes a los volúmenes de TrueCrypt y no pudo romperlos. Este es un registro legal. https://en.wikipedia.org/wiki/TrueCrypt#Legal_cases (TrueCrypt es la cuarta enmienda aprobada)
TrueCrypt permite al usuario crear la clave maestra. Durante la creación del volumen, TrueCrypt permite al usuario mover el mouse en la interfaz de TrueCrypt durante el tiempo que desee, lo que manipula al azar el valor de la clave maestra que se está creando. Eso pone el poder del caos en la mano del usuario donde pertenece. LUKS no permite esta característica programática fácil.
fuente