Contenitore crittografato su un filesystem copy-on-write

2

Per come la capisco, quando scrivi su un filesystem copy-on-write, i dati non vengono mai sovrascritti, invece i nuovi dati vengono scritti in una nuova posizione e i vecchi dati verranno sovrascritti solo quando il filesystem funziona fuori dallo spazio.

Se metto un contenitore crittografato (ad esempio un luk) su un file system zfs e poi continuo a scrivere diversi dati nel contenitore criptato, allora finirei con un sacco di diverse versioni dello stato del contenitore criptato su disco.

Questo indebolisce la crittografia? In tal caso, quanta parte di una minaccia è questa in pratica, rende facile rompere la crittografia?

    
posta snowape 26.10.2014 - 00:50
fonte

2 risposte

2

Supponendo che il contenitore crittografato stia utilizzando un algoritmo sicuro in modo sicuro, ciò non consentirà all'utente malintenzionato di interrompere la crittografia. Nel peggiore dei casi (scrivendo file forniti dall'attaccante), questo fornisce loro informazioni per l'esecuzione di un attacco con testo in chiaro scelto. Qualsiasi buon algoritmo di crittografia (ad esempio AES o Twofish) è strongmente resistente a questo tipo di attacco, tanto che potresti spendere milioni di anni a scrivere sul disco senza fornire all'attaccante informazioni sufficienti per eseguire l'attacco.

Il grosso rischio non è la crittografia stessa, ma fornisce un canale laterale per la raccolta di informazioni sui dati memorizzati nel contenitore. Ad esempio, se tutti i blocchi scartati appartengono a una parte del disco, è un buon segno che è in uso un volume nascosto.

    
risposta data 28.10.2014 - 01:10
fonte
2

Non indebolisce la crittografia per sé, ma rappresenta un problema di divulgazione delle informazioni. Ragionando sul numero di byte che sono cambiati e sulla posizione di quei byte, un utente malintenzionato potrebbe essere in grado di inferire i tipi di modifiche che sono state apportate tra due diverse versioni del contenitore, nonché il modo in cui viene utilizzato il contenitore.

La maggior parte dei filesystem copy-on-write ti permettono di disabilitare selettivamente questa funzione, sia come opzione di mount che come attributo file / directory:

chattr +C /file/or/directory
    
risposta data 28.10.2014 - 01:42
fonte

Leggi altre domande sui tag