Contenedor cifrado encima de un sistema de archivos de copia en escritura

Navega tus respuestas
2

De la forma en que lo entiendo, cuando escribe en un sistema de archivos de copia sobre escritura, los datos nunca se sobrescriben en su lugar, en lugar de eso, los datos nuevos se escriben en una nueva ubicación, y los datos antiguos solo se sobrescribirán cuando se ejecute el sistema de archivos fuera del espacio.

Si pongo un contenedor cifrado (luks por ejemplo) encima de un sistema de archivos zfs, y luego escribo datos diferentes en el contenedor cifrado, entonces terminaré con muchas versiones diferentes del estado del contenedor cifrado en disco.

¿Esto debilita el cifrado? Si es así, ¿qué tan amenazante es esto en la práctica, facilita la ruptura del cifrado?

    
pregunta snowape 26.10.2014 - 00:50
fuente

2 respuestas

2

Suponiendo que su contenedor cifrado está utilizando un algoritmo seguro de una manera segura, esto no permitirá que el atacante rompa el cifrado. En el peor de los casos (escribir archivos proporcionados por el atacante), esto les da información para realizar un ataque de texto sin formato elegido. Cualquier buen algoritmo de encriptación (por ejemplo, AES o Twofish) es muy resistente a este tipo de ataque, tanto que podría pasar millones de años escribiendo en el disco sin dar al atacante suficiente información para realizar el ataque.

El gran riesgo no es el cifrado en sí, sino que proporciona un canal lateral para recopilar información sobre los datos almacenados en el contenedor. Por ejemplo, si todos los bloques descartados pertenecen a una parte del disco, es una buena señal de que se está utilizando un volumen oculto.

    
respondido por el Mark 28.10.2014 - 01:10
fuente
2

No debilita el cifrado per-se, pero representa un problema de divulgación de información. Al razonar sobre el número de bytes que han cambiado y la posición de esos bytes, un atacante podría inferir los tipos de cambios que se han realizado entre dos versiones diferentes del contenedor, así como la forma en que se usa el contenedor.

La mayoría de los sistemas de archivos de copia en escritura le permiten desactivar selectivamente esta función, ya sea como una opción de montaje o como un atributo de archivo / directorio: 

chattr +C /file/or/directory
    
respondido por el tylerl 28.10.2014 - 01:42
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia entre un algoritmo clave y el algoritmo de cifrado? Mejor práctica: frecuencia para cambiar la clave precompartida de IPSec