XTS vs AES-CBC con ESSIV per la crittografia del file system basata su file

10

In un post del blog che ho letto di recente chiamato " You Do not Want XTS , "l'autore spiega alcune delle trappole dell'uso di XTS per crittografare i file system. In particolare, raccomanda di non condividere mai filesystem basati su file crittografati su servizi come Dropbox quando il disco basato su file è crittografato in XTS.

Dato che TrueCrypt offre un modo abbastanza semplice per creare file system basati su file crittografati, l'ho usato in passato per tenere le cose al sicuro quando ho bisogno di trasportare su un filesystem su una pen drive o su Internet.

Visto che dm-crypt usa AES-CBC con un ESSIV di default invece di XTS, è vittima delle stesse vulnerabilità di TrueCrypt in XTS?

    
posta Naftuli Kay 28.07.2014 - 19:18
fonte

1 risposta

16

Le critiche su XTS hanno senso in un contesto in cui gli attaccanti possono osservare versioni successive del disco crittografato (cioè l'attaccante ruba il tuo laptop, fa un'immagine dell'intero disco, poi rimette il laptop nella borsa, e tu l'hai fatto non notare nulla, e lo fa di nuovo domani, dopodomani, e così via ...). Con XTS, ogni blocco da 16 byte viene crittografato da solo, in modo che l'attaccante possa notare quando due versioni successive dello stesso blocco crittografato (lo stesso blocco da 16 byte all'interno dello stesso settore del disco rigido) contengono gli stessi dati. Questo potenzialmente consente analisi del traffico . Se l'attaccante si attiva, può rimettere una vecchia versione di qualsiasi blocco e può farlo indipendentemente per tutti i blocchi.

Con CBC + ESSIV, ogni settore ha il proprio IV, quindi il nostro ricorrente aggressore può notare quando una nuova versione di un settore inizia con la stessa sequenza di blocchi di una versione precedente. CBC è tale che se due blocchi di testo in chiaro differiscono a un certo punto in un settore, i blocchi rimanenti in quel settore divergeranno. In questo senso, rispetto a XTS, le abilità dell'attaccante per l'analisi del traffico di CBC + ESSIV sono ridotte. Ad esempio, se due versioni di un determinato settore utilizzano lo stesso valore in chiaro per il 13 ° blocco, ciò sarà evidente con XTS, non con CBC (a meno che le versioni per i 12 settori precedenti non siano modificate).

D'altro canto, un attaccante attivo è spesso più felice con CBC, perché può modificare i bit a piacimento all'interno di un blocco (a condizione che non gli dispiaccia sostituendo il blocco precedente con spazzatura casuale incontrollabile).

Quindi no, dm-crypt non ha le esatte stesse vulnerabilità di TrueCrypt. Gli scenari previsti (ripetute intercettazioni sullo stesso disco, alterazioni ostili ...) non sono l'obiettivo principale della crittografia a disco intero; in realtà, FDE era pensato per la situazione del "laptop rubato", in cui non si ottiene indietro, mai. Nessuna delle due soluzioni si comporta bene contro un aggressore più laborioso, ma non fallisce esattamente nello stesso modo.

    
risposta data 28.07.2014 - 20:23
fonte

Leggi altre domande sui tag