É simples dm-crypt igual a LUKS sem cabeçalho?

0

Se eu usar a criptografia LUKS fornecida --header=<file> option, será equivalente a usar dm-crypt em termos de plausible deniability ou ainda haverá uma maneira de dizer que a partição fornecida é LUKS criptografado, embora não contenha o cabeçalho?

    
por Alexander Solovets 05.01.2016 / 22:27

3 respostas

1

Se você usar --header , somente os dados serão gravados no dispositivo. Você pode verificar isso criando um dispositivo de loop e usar luksFormat uma vez com e uma vez sem --header . Se você usar essa opção, o dispositivo criptografado não será alterado e o dispositivo descriptografado será maior.

start cmd: # cd /tmp

start cmd: # dd if=/dev/zero of=luks.img bs=1M count=100

start cmd: # dd if=/dev/zero of=luksheader bs=1M count=10     

start cmd: # cryptsetup --force-password --header luksheader luksFormat /dev/loop0 

start cmd: # cryptsetup --header luksheader luksOpen /dev/loop0 luks

start cmd: # blockdev --getsz /dev/mapper/luks 
204800

start cmd: # blockdev --getsz /dev/loop0
204800

start cmd: # dd if=/dev/loop0 bs=1K count=1 | od
0000000 000000 000000 000000 000000 000000 000000 000000 000000
*
0002000

start cmd: # cryptsetup luksClose luks                         

start cmd: # cryptsetup --force-password luksFormat /dev/loop0                     

start cmd: # cryptsetup luksOpen /dev/loop0 luks               

start cmd: # blockdev --getsz /dev/mapper/luks                 
200704

start cmd: # dd if=/dev/loop0 bs=1K count=1 | command od       
0000000 052514 051513 137272 000400 062541 000163 000000 000000
0000020 000000 000000 000000 000000 000000 000000 000000 000000
0000040 000000 000000 000000 000000 072170 026563 066160 064541
[...]
    
por 06.01.2016 / 01:29
0

Não, eles não são equivalentes em termos de negação plausível . O motivo é a existência do arquivo de cabeçalho, que não é criptograficamente oculto.

    
por 20.07.2016 / 23:01
0

Para arquivos LUKS:

Que tal criar um cabeçalho LUKS normal mas falso / falante no dispositivo? Siga junto; Eu poderia executar urandom (ou outro preenchimento de ruído mais rápido na mídia) através do cabeçalho chamariz para preencher completamente o ruído usando esse cabeçalho chamariz.

Agora salvei esse cabeçalho para restaurá-lo quando quiser. Em seguida, crio um novo cabeçalho com senha segura e o create my filesystem e uso-o quando quiser salvar arquivos.

Um pequeno trabalho, mas scripts de shell executáveis tornariam isso rápido e fácil. Quando quero usar a mídia, escrevo o cabeçalho luks correto para a mídia e tenho acesso total ao sistema de arquivos. Quando terminar, limpe a área do cabeçalho e escreva o cabeçalho LUKS do decoy de volta na mídia. Seria super fácil e rápido com um script de shell executável.

Parece-me que, se eu abri a mídia LUKS usando o cabeçalho chamariz, ele pareceria estar completamente limpo e, como não há volumes ocultos, a suspeita de tal movimento não seria alta.

Apenas um pensamento.

    
por 27.04.2017 / 22:22

Tags