Как защитить LUKS от Ram Dumps?
Я хочу защитить свои данные от всех, кто хочет получить к нему доступ, включая NSA.
Я использовал шифрование всего диска на моем Kubuntu INSTALL, и я никогда ничего не делаю на полпути.
Я посмотрел, как взломать LUKS, и мне потребовалось некоторое время, но в конце концов я нашел эту статью о том, как любой, у кого есть живой USB, может взломать шифрование LUKS.
https://0x00sec.org/t/breaking-encryption-hashed-passwords-luks-devices/811
Как защитить мой диск от такой атаки? Это до тех пор, пока квантовые компьютеры не разорвут RSA 4096.
2 ответа
Вы не можете, а не с LUKS. Возможность этой атаки - это особенность, а не ошибка. Это позволяет системе сохранять громкость после возобновления от приостановки.
Однако криптография работает в вашу пользу, чтобы смягчить последствия этой атаки до такой степени, когда она становится нежизнеспособной, если вы выберете
алгоритм хэширования «защищенного» пароля (см. опцию --hash в cryptsetup(8)) и «защищенную» фразу или хранилище ключей.Для (1.) значение по умолчанию должно быть точным с достаточно обновленной версией ядра и cryptsetup. Вы всегда можете изменить алгоритм хэширования в более поздней точке (при условии, что вы знаете правильную фразу или клавишу тома).
Для (2.) обратитесь к общим рекомендациям, чтобы выбирать фразы. Многие люди, похоже, согласны с тем, что комикс Рэндалла Мунро иллюстрирует жизнеспособную схему для этого выбора. Другим вариантом являются ключи, хранящиеся на смарт-картах. Вы также можете соединить два.
Вы не можете, а не с LUKS. Возможность этой атаки - это особенность, а не ошибка. Это позволяет системе сохранять громкость после возобновления от приостановки.
Однако криптография работает в вашу пользу, чтобы смягчить последствия этой атаки до такой степени, когда она становится нежизнеспособной, если вы выберете
алгоритм хэширования «защищенного» пароля (см. опцию --hash в cryptsetup(8)) и «защищенную» фразу или хранилище ключей.Для (1.) значение по умолчанию должно быть точным с достаточно обновленной версией ядра и cryptsetup. Вы всегда можете изменить алгоритм хэширования в более поздней точке (при условии, что вы знаете правильную фразу или клавишу тома).
Для (2.) обратитесь к общим рекомендациям, чтобы выбирать фразы. Многие люди, похоже, согласны с тем, что комикс Рэндалла Мунро иллюстрирует жизнеспособную схему для этого выбора. Другим вариантом являются ключи, хранящиеся на смарт-картах. Вы также можете соединить два.
-
1Можно было бы заметить, что сохранение хеша в памяти связано с возобновлением с приостановки. Таким образом, это не ошибка. Необходимо возобновить переход с приостановления без ввода пароля, если вы не используете физический токен. – RobotHumans 15 June 2017 в 02:02
-
2
-
3Fork luks и модуль пэда, который поддерживает только токены USB. Вот как я это исправил. – RobotHumans 15 June 2017 в 02:29
-
4@RobotHumans: Спасибо за подсказку! Я соответствующим образом скорректировал свой ответ. – David Foerster 15 June 2017 в 02:37
-
5@JohanLiebert: Не могли бы вы открыть новый вопрос , если у вас есть новый или последующий вопрос? Раздел комментариев не подходит или предназначен для новых вопросов или расширенного обсуждения. Вы можете отправить мне комментарий с уведомлением, чтобы привлечь мое внимание к нему. Благодарю. – David Foerster 15 June 2017 в 02:37