Существуют ли какие-либо известные уязвимости в функции полного шифрования диска Ubuntu?
Существуют ли какие-либо известные уязвимости в функции полного шифрования диска Ubuntu?
У меня есть несколько устройств хранения данных (флэш-накопитель и несколько внешних жестких дисков, используемых для резервного копирования), которые я использую с полным шифрованием диска, так что если потеряны или украдены, мои данные не могут быть восстановлены. Является ли это ложным чувством безопасности?
Если кто-то получит зашифрованный диск, сможет ли он нарушить шифрование, и если да, то сколько времени это займет?
РЕДАКТИРОВАТЬ: Чтобы уточнить, я спрашиваю только о не загрузочных дисков. Мне известны уязвимости к зашифрованным дискам, которые все еще используются для загрузки ОС.
1 ответ
В Ubuntu 11.10 нет известных уязвимостей в шифровании. Там были некоторые. Как правило, уязвимости в ecryptfs связаны с тем, что злоумышленник уже вошел в вашу систему и может вызвать отказ в обслуживании. Была проблема LUKS, в которой пользователи были удивлены тем, что простая опция конфигурации в инструменте разделения может полностью и навсегда уничтожить раздел.
Примерно через 5 * 10 ^ 9 лет мы ожидаем, что эта планета будет охвачена расширяющимся Солнцем. Шифрование AES-256 вполне может долго противостоять атакам. Однако, как вы, кажется, знаете, есть много других потенциальных слабостей, и они должны повторяться.
Знаете ли вы, что вы эффективно зашифровали диск? Это сложно. Вдумчивые люди не согласны с тем, какие варианты установки являются достаточно эффективными. Знаете ли вы, что вы должны установить полное шифрование диска с альтернативного установочного компакт-диска Ubuntu, используя LUKS, а не ecryptfs? Знаете ли вы, что LUKS хранит фразу-пароль в ОЗУ в виде обычного текста или что, если файл разблокирован любым пользователем с помощью ecryptfs, то ecryptfs не защищает его от любого другого пользователя? Был ли ваш диск когда-либо подключен к системе, которая позволяла подключать незашифрованное хранилище, вместо того, чтобы устанавливать явную политику SELinux, запрещающую это? Где вы хранили свои резервные копии вашего зашифрованного диска? Вы сделали резервные копии, потому что знали, что зашифрованные диски гораздо более чувствительны к обычным ошибкам, верно?
Вы уверены, что ваша фраза-пароль не входит в число первых миллиардов (больше, как триллионы или что-то еще сейчас) возможностей можно догадаться? Является ли человек, пытающийся расшифровать ваш диск, действительно случайным, плохо мотивированным и финансируемым, неискушенным незнакомцем? Вы уверены, что ваш пароль не мог быть получен с помощью фальсификации программного обеспечения (атака «злой девицы»), наблюдения за работающей системой («серфинг по плечу», «черный мешок» или «холодный старт») и т. Д.? Насколько хорошо вы избежали атак, которые получают все: электронная почта и загрузка вирусов, вредоносный JavaScript, фишинг?
Насколько глубоко вы храните секретную фразу? В каких юрисдикциях вы будете? Вы были бы рады пойти в тюрьму? Есть ли другие люди, которые знают секреты, которые защищены вашим шифрованием диска? Хотите ли вы заплатить цену за свои секреты, даже если эти люди их раскроют?