LUKS efficienza nuke

Naviga le tue risposte
3

Mi chiedo dell'efficienza della patch nuke di LUKS. In effetti, penso di non capirlo davvero.

Da quello che so di LUKS, una passphrase viene utilizzata per crittografare una chiave casuale (la chiave principale), che viene utilizzata per crittografare i dati. Sia la chiave master crittografata sia i dati crittografati sono archiviati nella partizione. LUKS nuke equivale a cancellare la chiave master crittografata.

Diciamo che la mia passphrase contiene lettere maiuscole, minuscole, simboli, numeri ed è lunga 30 caratteri.

Ora, la chiave master è crittografata con lo stesso algoritmo dei dati? In tal caso, come è possibile cancellare la chiave master crittografata? Devo solo provare a decodificare i dati.

Dove mi sbaglio? Ci vuole molto più tempo? Gli algoritmi sono diversi? Mi manca qualcosa?

Qual è il miglioramento della sicurezza?

Grazie per le tue spiegazioni.

    
posta bh42 22.12.2014 - 12:17
fonte

3 risposte

4

La chiave master LUKS viene generata in modo veramente casuale. Di conseguenza, non c'è modo di indovinarlo più velocemente rispetto alla semplice prova di ogni possibile chiave e fornisce tutta la potenza potenziale dell'algoritmo di crittografia sottostante.

La passphrase non è probabilmente casuale (e anche se lo è, fornisce solo 197 bit di sicurezza, mentre alcuni algoritmi di crittografia forniscono fino a 256 bit). Per questo motivo, provare a indovinare la passphrase è probabilmente più veloce di cercare di indovinare la chiave che ne deriva.

Si noti che LUKS Nuke non fornisce alcuna protezione aggiuntiva su LUKS semplice quando si trova di fronte a un utente malintenzionato intelligente. Un utente malintenzionato eseguirà una copia del volume crittografato prima di provare a battere la tua password, e assegnando loro la password "cancella" cancellerà solo la copia, non l'originale.

    
risposta data 22.12.2014 - 12:47
fonte
2

Tutta la patch nuke di LUKS (al momento dell'inserimento della chiave) elimina la chiave crittografica utilizzata per crittografare il disco rigido rendendo impossibile la decrittografia del disco rigido, tuttavia, come affermato da Mark, è possibile ovviare a questo tipo di clonazione l'unità (che di solito è il primo passo in un'analisi forense) Tuttavia, se si è in grado di anticipare un attacco o un raid, sarebbe probabilmente opportuno inserire la chiave nucleare prima che abbiano la possibilità di eseguire i backup del proprio disco , che non è il caso per la maggior parte delle persone. Questa contromisura sarebbe molto più efficace se fosse un modo per prevenire la clonazione del disco, un giorno avremo questo, forse prima di allora.

    
risposta data 24.12.2014 - 05:20
fonte
1

Solo per aggiungere la risposta di CPagan (non sono autorizzato a commentare) ...

Prima di mettere a fuoco la tua chiave (quando è previsto un raid o stai per viaggiare con dati sensibili), non è necessario eseguire il backup dell'intera unità. Eseguire solo il backup dell'intestazione del volume crittografato: è piccolo. Ad esempio:
cryptsetup luksHeaderBackup --header-backup-file luksheader.bak /dev/somedevice0

Ora crittografare il file di intestazione (usando openssl o tale) e archiviare separatamente (online o con qualcun altro).

Elimina la tua chiave.

Per ripristinare l'intestazione:
Decifra (usando il metodo che hai sempre usato per cifrare) e poi ripristina con qualcosa del tipo:
cryptsetup luksHeaderRestore --header-backup-file luksheader.bak /dev/somedevice0

    
risposta data 09.07.2018 - 12:52
fonte

Leggi altre domande sui tag

Come determinare se l'ip risolto è canaglia o parte di CDN? C'è un modo per fare in modo che la rete di Tor sia piena di VPN?