LUKS eficiencia nuclear

3

Me pregunto sobre la eficiencia del parche nuclear de LUKS. De hecho, creo que realmente no lo entiendo.

Por lo que sé de LUKS, se usa una frase de contraseña para cifrar una clave aleatoria (la clave maestra), que se usa para cifrar los datos. Tanto la clave maestra cifrada como los datos cifrados se almacenan en la partición. LUKS Nuke equivale a borrar la clave maestra cifrada.

Digamos que mi frase de contraseña contiene mayúsculas, minúsculas, símbolos, números y tiene 30 caracteres de longitud.

Ahora, ¿la clave maestra está encriptada con el mismo algoritmo que los datos? Si es así, ¿cómo es seguro borrar la clave maestra cifrada? Solo tengo que intentar descifrar los datos.

¿En qué me equivoco? ¿Lleva mucho más tiempo? ¿Son los algoritmos diferentes? ¿Echo de menos algo?

¿Qué es la mejora de la seguridad?

Gracias por tus explicaciones.

    
pregunta bh42 22.12.2014 - 12:17
fuente

3 respuestas

4

La clave maestra LUKS se genera de una manera verdaderamente aleatoria. Como resultado, no hay manera de adivinarlo más rápido que simplemente intentar cada clave posible, y proporciona toda la fuerza potencial del algoritmo de cifrado subyacente.

Su frase de contraseña probablemente no sea aleatoria (e incluso si lo es, solo proporciona 197 bits de seguridad, mientras que algunos algoritmos de cifrado proporcionan hasta 256 bits). Debido a esto, tratar de adivinar la contraseña es probablemente más rápido que tratar de adivinar la clave derivada de ella.

Tenga en cuenta que LUKS Nuke no proporciona seguridad adicional sobre LUKS cuando se enfrenta a un atacante inteligente. Un atacante inteligente hará una copia del volumen encriptado antes de intentar eliminar su contraseña, y al darles la contraseña de "borrado" solo se borrará la copia, no la original.

    
respondido por el Mark 22.12.2014 - 12:47
fuente
2

Todo lo que hace el parche nuclear de LUKS (al ingresar la clave) es eliminar la clave criptográfica utilizada para cifrar el disco duro, por lo que es imposible descifrarlo, sin embargo, como Mark dijo, hay formas de evitarlo, como la clonación. la unidad (que de todos modos suele ser el primer paso en un análisis forense) Sin embargo, si pudo anticipar un ataque o una redada, entonces probablemente sería prudente ingresar la clave nuclear antes de que tengan la oportunidad de realizar copias de seguridad de su unidad. , que no es el caso para la mayoría de las personas. Esta contramedida sería mucho más efectiva si fuera una forma de evitar la clonación de la unidad, algún día tendremos esto, quizás más pronto que tarde.

    
respondido por el CPagan 24.12.2014 - 05:20
fuente
1

Solo para agregar a la respuesta de CPagan (no puedo comentar) ...

Antes de oprimir la tecla (cuando se espera una redada o está a punto de viajar con datos confidenciales), no es necesario realizar una copia de seguridad de toda la unidad. Solo haga una copia de seguridad del encabezado del volumen cifrado, es pequeño. Por ejemplo:
cryptsetup luksHeaderBackup --header-backup-file luksheader.bak /dev/somedevice0

Ahora cifre el archivo de encabezado (con openssl o similar) y almacénelo por separado (en línea o con otra persona).

Aprieta tu llave.

Para restaurar el encabezado:
Descifre (usando el método que utilizó para cifrar) y luego restaure con algo como:
cryptsetup luksHeaderRestore --header-backup-file luksheader.bak /dev/somedevice0

    
respondido por el Sham Pain 09.07.2018 - 12:52
fuente

Lea otras preguntas en las etiquetas