Existe alguma vulnerabilidade conhecida para o recurso de criptografia de disco completo do Ubuntu?

Question

Existe alguma vulnerabilidade conhecida para o recurso de criptografia de disco completo do Ubuntu?

#1 resposta do minopret (10 votos)

9

Existe alguma vulnerabilidade conhecida no recurso de criptografia de disco completo do Ubuntu?

Eu tenho alguns dispositivos de armazenamento (thumbdrive e alguns discos rígidos externos usados para backups) que eu uso com criptografia total de disco, para que, se forem perdidos ou roubados, meus dados não possam ser recuperados. Isso é uma falsa sensação de segurança?

Se alguém obtivesse uma unidade criptografada, seria possível que ela quebrasse a criptografia e, em caso afirmativo, quanto tempo levaria?

EDIT: Para esclarecer, estou apenas perguntando sobre unidades não inicializáveis. Estou ciente das vulnerabilidades das unidades criptografadas que ainda são usadas para inicializar o SO.

encryption luks

por Cerin 07.02.2012 / 17:39

1 resposta

Tags encryption luks

Qual kernel usar para a VM do servidor em execução no ESX As bordas de janelas desaparecem no Unity

score 10 · Accepted Answer

Não há vulnerabilidades conhecidas na criptografia no Ubuntu 11.10. Houve alguns. Geralmente, as vulnerabilidades do ecryptfs envolviam um invasor já conectado ao sistema que poderia causar negação de serviço. Houve um problema LUKS em que os usuários ficaram surpresos que uma simples opção de configuração em uma ferramenta de particionamento pudesse destruir completa e permanentemente uma partição.

Em cerca de 5 * 10 ^ 9 anos, esperamos que este planeta seja engolfado pelo Sol em expansão. A criptografia AES-256 pode resistir a ataques por tanto tempo. No entanto, como você parece estar ciente, há muitas outras fraquezas potenciais e elas se repetem.

Você saberá que você criptografou o disco efetivamente? É complicado. Pessoas atenciosas discordam sobre quais opções de instalação são suficientemente eficazes. Você sabia que você deve instalar a criptografia de disco completo do CD de instalação alternativo do Ubuntu usando o LUKS, não o ecryptfs? Você sabia que o LUKS armazenou a frase secreta na RAM em texto simples, ou que uma vez que um arquivo é desbloqueado por qualquer usuário via ecryptfs, o ecryptfs não o protege de nenhum outro usuário? Seu disco já estava conectado a um sistema que permitia anexar armazenamento não criptografado, em vez de definir uma política explícita do SELinux para proibir isso? Onde você guardou seus backups do seu disco criptografado? Você fez backups porque sabia que os discos criptografados são muito mais sensíveis aos erros normais, certo?

Você tem certeza de que sua senha não está entre os bilhões mais importantes (mais como trilhões, ou seja o que for agora) de possibilidades que possam ser adivinhadas? A pessoa que está tentando decifrar seu disco é realmente um estranho aleatório, mal motivado e financiado, sem recursos? Você tem certeza de que sua senha não poderia ter sido obtida por adulteração de software (ataque "maid evil"), observando o sistema em execução ("surfando no ombro", "black bag" ou "cold boot"), etc.? Você evitou os ataques que todos recebem: vírus de e-mail e download, JavaScript malicioso, phishing?

Quão profundamente você está comprometido em manter sua senha secreta? Em quais jurisdições você estará? Você se contentaria em ir para a prisão? Existem outras pessoas que conhecem os segredos protegidos por sua criptografia de disco? Você quer pagar o preço por seus segredos, mesmo que essas pessoas os revelem?