Как мне защитить ЛУКС от баранов?
Я хочу защитить свои данные от всех, кто хочет получить к ним доступ, включая АНБ.
Я использовал целое шифрование диска на Kubuntu INSTALL, и я никогда ничего не делаю наполовину.
Я посмотрел, как взломать LUKS, и это заняло у меня некоторое время, но в конце концов я нашел эту статью о том, как любой с живым USB может взломать шифрование LUKS.
https://0x00sec.org/t/breaking-encryption-hashed-passwords-luks-devices/811
Как защитить диск от такого атака? Пока квантовые компьютеры не сломают RSA 4096.
1 ответ
Вы не можете, не с LUKS. Возможность этой атаки - это особенность, а не ошибка. Это позволяет системе держать объем открытым после возобновления из приостановки.
Однако криптография работает в вашу пользу, чтобы смягчить последствия этой атаки до такой степени, что она станет нежизнеспособной, если вы выберете
- «безопасный» алгоритм хэширования парольной фразы (см.
--hashопцияcryptsetup(8)) и - «безопасная» парольная фраза или хранилище ключей.
Для (1.) по умолчанию должно быть достаточно с относительно свежим ядром и версией cryptsetup. Вы всегда можете изменить алгоритм хеширования позднее (при условии, что вы знаете правильную парольную фразу или клавишу громкости).
Для (2.) см. Общие рекомендации по выбору парольных фраз. Многие люди сходятся во мнении, что комикс Рэндалла Манро иллюстрирует жизнеспособную схему для этого выбора. Другим вариантом являются ключи, хранящиеся на смарт-картах. Вы также можете соединить их.