[erledigt] Angriff auf Linux-Verschlüsselung

[Arminius]

Heise.de - Security hat nachfolgende Nachricht:
http://www.heise.de/security/artikel/Erfolgreicher-Angriff-auf-Linux-Verschluesselung-2072199.html

*grusel*

 

[buddabrod]

Interessant. Zum Glück nutze ich seit locker 5 Jahren XTS

Die Frage ist aber: wie realistisch ist es, dass jemand das ausnutzt?

 

[Mornsgrans]

Die Frage ist aber: wie realistisch ist es, dass jemand das ausnutzt?

Einzige Voraussetzung für den Angriff ist, dass man die Position einer Datei exakt kennt.

Alleine dies dürfte für einen Außenstehenden nicht leicht zu ermitteln sein.

 

[B1ack0ut[GER]]

Alleine dies dürfte für einen Außenstehenden nicht leicht zu ermitteln sein.

Es sei denn, ein Programm generiert eine Datei im verschlüsselten Bereich. Dann müsste man nur den generischen Daten-Output einiger Apps analysieren und quasi wie bei Brute-Force probieren, ob Eine dabei ist... ist jedoch mit viel Aufwand verbunden und ist evtl. auch erfolglos.

 

[Arminius]

Entscheidend bei dieser Problematik ist wohl auch das Alter der jeweiligen Distribution.
Die Maintainer haben das Problem anscheinend auch schon erkannt und in aktuellen Paketen abgestellt.
Ab der Version cryptsetup 1.6.1-1 ist "aes-xts-plain64" default, habe ich in einem anderen Forum gelesen/erfahren dürfen.

 

[enrico65]

Ich stimme Mornsgrans zu 100% zu. Wie soll denn das außerhalb von Laborbedingungen mit vertretbarem Zeit-, Arbeits- und Rechenaufwand klappen? Wenn ein Dieb auf der CeBit Euren Laptop gestohlen hat, werden ihn wohl auch kaum die Daten interessieren. Er macht das Ding sofort platt, um es verkaufen zu können. Zudem sind Gegenmaßnahmen bereits ergriffen. Wer allerdings in freier Wildbahn alte Betriebssystem-Varianten einsetzt, sollte das mal überprüfen.

Also bitte die Kirche im Dorf lassen.

Frohe Weihnachten
enrico65

 

[linrunner]

Wenn jemand sehr interessiert ist an Euren Daten, dann kann er das auch hinbekommen. Ich denke die Empfehlung muss lauten, die betroffenen LUKS-Volumes alsbald neu aufzusetzen.

Bis dahin läßt man sein kleines Schwarzes besser nicht aus den Augen. Aber das tut ihr ja ohnehin nicht, oder ?

ps. @Arminius: welchen Default verwendet Debian Wheezy eigentlich? Die cryptsetup-Version ist dort ja eine wesentlich ältere: http://packages.debian.org/wheezy/cryptsetup

 

[Arminius]

Ja richtig, in "Wheezy 7.0.2" ist noch cryptsetup in der Version 1.4.3-4 dabei, aber in "Wheezy 7.0.3" ist es dann mit der Versions-Nr. 2:1.4.3-4 in den Paketen dabei.

Aber ansonsten stimme ich euch zu und denke angestrengt über eine Anpassung meines OS nach.

Edit: Hat sich mit dem 2.Update auf 7.0.3 bereits erledigt.

 

[crippled_penguin]

Wenn ich die Changelogs richtig verstehe, verwendet auch Debian erst mit der cryptsetup-Version 1.6.1-1 XTS als Standard. Wheezy (das 3. Pointrelease eingeschlossen) wird demnach wahrscheinlich noch CBC nutzen.

 

[Arminius]

Die Abfrage mit
# cryptsetup luksDump /dev/sda5 | grep Cipher
sollte dir ein eindeutiges Ergebnis liefern.
Wenn du also mit Debian GNU/Linux 7.0.3 dein OS neu aufsetzt/aufgesetzt hast, sollte dann als Ergebnis

Cipher name: aes
Cipher mode: xts-plain64

herauskommen.

Ich staune, dass dieses Thema doch so lange Beachtung findet.