Quão seguro é um sistema de arquivos LUKS criptografado?

Sim, é seguro. O Ubuntu usa o AES-256 para criptografar o volume do disco e tem um feedback de cypher para ajudar a protegê-lo contra ataques de freqüência e outros ataques que visam dados estaticamente criptografados.

Como um algoritmo, o AES é seguro e isso foi provado pelo teste de análise de cripta. A fraqueza, na verdade, está no cypher e no software para passar as chaves. Especificamente no keystore (que é armazenado no cabeçalho do volume), o keystore é protegido por uma frase secreta. Os códigos de acesso estão obviamente abertos a alguns ataques, como o dicionário / força bruta (se isso for bem-sucedido, descriptografará o keystore). A utilização de senhas não complexas "complexas" longas reduziria a chance de isso acontecer.

A única outra possibilidade de decifrar é usar dispositivos de gravação ou engenharia social para determinar sua senha.

Em suma, o seu computador está razoavelmente seguro, a menos que você esteja sujeito a um crime cibernético organizado ou a uma investigação governamental!

Aqui estão dois recursos sobre ataques a esse tipo de sistema de arquivos que parecem ser interessantes: link link

Enquanto o ataque é muito ruim, ele não se aplica às configurações modernas do LUCS. O ataque só pode ser aplicado se o modo de bloqueio for CBC , por exemplo, se a cifra aes-cbc-essiv for usada. As configurações modernas usam outros modos de bloqueio, como a cifra aes-xts-plain64 (consulte este artigo no wiki do ArchLinux ).

Para verificar qual cifra é usada pela sua configuração, execute:

sudo cryptsetup status [device]

em que [device] é seu mapeamento, como /dev/mapper/sda3_crypt .

Eu criei um programa do Windows que executará um ataque de dicionário nos volumes do Luks. link

É lento pelo design, tentando cerca de 3 teclas por segundo. Outros ataques de dicionário serão igualmente lentos, então, a menos que você tenha escolhido uma senha fácil, a fraqueza não será o algoritmo.

Esteja ciente do roubo de chaves da memória e do armazenamento de arquivos, no entanto.

O método de criptografia LUKS é potencialmente inseguro, pelo menos na maneira como lida com o processo de criptografia. Vamos dar-lhe o benefício da dúvida que os algoritmos são seguros e podemos compará-los com o código do algoritmo que foi auditado. Colocando isso de lado, como usuário, você não tem permissão para criar uma chave que criptografe seus dados. É como dizer a alguém, ei, vou inventar uma senha que criptografa sua conta bancária, não você. Mas eu vou ser tão legal em deixar você criar uma senha que criptografa minha senha. Existe a fraqueza da segurança com o LUKS como eu o vejo.

O LUKS usa uma chave mestra ou o que eles chamam de chave unificada. Esta chave é gerada usando os programas 'random' e 'urandom' instalados no sistema Linux. Se esses programas estiverem comprometidos de alguma forma, sua chave mestra se tornará fraca. Não importa o quão strong seja a sua senha, o método de criação da Chave Mestra cria uma vulnerabilidade.

Compare isso com TrueCrypt, que misteriosamente parou durante os maiores vazamentos contra a espionagem dos EUA. Volumes TrueCrypt que foram corretamente criptografados de acordo com a documentação do TrueCrypts, não foram invadidos. O governo jogou todo o dinheiro dos contribuintes em volumes TrueCrypt e não conseguiu quebrá-los. Este é um registro legal. link (TrueCrypt é a quarta alteração aprovada)

TrueCrypt permite ao usuário criar a chave mestra. Durante a criação de volume, o TrueCrypt permite que o usuário mova o mouse na interface TrueCrypt por quanto tempo quiser, manipulando aleatoriamente o valor da chave mestra que está sendo criada. Isso coloca o poder do caos na mão do usuário onde ele pertence. O LUKS não permite esse recurso programático fácil.