LUKS protegge l'integrità del filesystem?

10

Ho letto in:

link

che Bitlocker non fornisce l'integrità dei dati poiché richiede più spazio nel disco. Il PDF dice anche che i sistemi di crittografia delle unità non offrono l'integrità dei dati memorizzati, implementando la cosiddetta autenticazione povera:

"La soluzione migliore è usare l'autenticazione di povero uomo: crittografare i dati e fidarsi del fatto che le modifiche nel testo cifrato non si traducono in modifiche semanticamente sensibili del testo in chiaro, ad esempio un utente malintenzionato può modificare il testo cifrato di un eseguibile, ma se il nuovo testo in chiaro è effettivamente casuale, possiamo sperare che ci sia una possibilità molto più alta che le modifiche possano mandare in crash la macchina o l'applicazione piuttosto che fare qualcosa che l'hacker vuole. "

LUKS offre controlli di integrità sui dati degli utenti?

Come del wiki di Arch ( link ):

"mkinitcpio-chkcryptoboot è un hook mkinitcpio che esegue controlli di integrità durante lo spazio iniziale degli utenti e consiglia all'utente di non inserire la password della partizione di root se il sistema sembra essere stato compromesso. è sbloccato usando il modulo cryptodisk.mod di GRUB e una partizione del filesystem di root, che è crittografata con una password diversa dalla precedente.In questo modo, initramfs e kernel sono protetti contro la manomissione offline e la partizione di root può rimanere sicura anche se il / la password della partizione di avvio viene immessa su una macchina compromessa (purché l'hook chkcryptoboot rilevi il compromesso e non sia esso stesso compromesso in fase di esecuzione). "

Cordiali saluti

    
posta BrunoMCBraga 03.05.2015 - 00:53
fonte

2 risposte

3

No, LUKS non esegue alcun controllo di integrità. La crittografia autenticata espande il testo cifrato rispetto al testo in chiaro e LUKS non ha alcuna funzionalità in atto per gestire questo. LUKS utilizza dm-crypt , di solito in modalità CBC o XTS.

    
risposta data 09.07.2015 - 08:52
fonte
5

LUKS formattato con l'opzione --integrity <algorithm> fornirà la protezione dell'integrità per il volume crittografato.

Affinché funzioni,% deve essere utilizzato --type luks2 durante la formattazione del dispositivo (l'apertura del dispositivo formattato con LUKS2 e la protezione dell'integrità funzionano esattamente come per i "normali" dispositivi crittografati).

Lo svantaggio è che il target di integrità richiede che i dati vengano scritti due volte per preservare l'atomicità delle scritture. È possibile disabilitare questa funzione ( --integrity-no-journal ) con il possibile rischio di perdita dei dati - le mancate corrispondenze tra i checksum verranno segnalate come errori I / O nelle letture. Il secondo lato negativo è che alcuni spazi vengono persi per il checksum, tra lo 0,1% (per crc32) e lo 0,78% (per SHA-256).

Con le unità Advanced Format (settori 4K), è buona norma fornire anche --sector-size 4096 in modo da garantire l'allineamento dei blocchi dei blocchi virtuali ai blocchi fisici del disco.

Vedi presentazione FOSDEM .

    
risposta data 08.05.2018 - 00:26
fonte

Leggi altre domande sui tag