XTS vs AES-CBC con ESSIV para el cifrado del sistema de archivos basado en archivos

10

En una publicación de blog que recientemente leí llamada " You Don't Want XTS , "el autor explica algunos de los inconvenientes del uso de XTS para cifrar sistemas de archivos. Específicamente, recomienda no compartir nunca sistemas de archivos basados en archivos encriptados sobre servicios como Dropbox cuando el disco basado en archivos está cifrado en XTS.

Dado que TrueCrypt ofrece una manera bastante fácil de crear sistemas de archivos cifrados basados en archivos, lo he usado en el pasado para mantener las cosas seguras cuando necesito transportar un sistema de archivos en una unidad de memoria USB o por Internet.

Al ver que dm-crypt usa AES-CBC con un ESSIV por defecto en lugar de XTS, ¿es víctima de las mismas vulnerabilidades que TrueCrypt en XTS?

    
pregunta Naftuli Kay 28.07.2014 - 19:18
fuente

1 respuesta

16

Las críticas sobre XTS tienen sentido en un contexto en el que los atacantes pueden observar versiones sucesivas del disco encriptado (es decir, el atacante roba su computadora portátil, crea una imagen de todo el disco, luego coloca la computadora portátil en su bolsa y lo hizo no note nada, y lo vuelve a hacer mañana, pasado mañana, y así sucesivamente ...). Con XTS, cada bloque de 16 bytes se encripta solo, por lo que el atacante puede notar cuando dos versiones sucesivas del mismo bloque encriptado (el mismo bloque de 16 bytes dentro del mismo sector del disco duro) contienen los mismos datos. Esto permite potencialmente el análisis de tráfico . Si el atacante se activa, puede volver a colocar una versión anterior de cualquier bloque y puede hacerlo para todos los bloques de forma independiente.

Con CBC + ESSIV, cada sector tiene su propio IV, por lo que nuestro atacante recurrente puede notar cuando una nueva versión de un sector comienza con la misma secuencia de bloques que una versión anterior. El CBC es tal que si dos bloques de texto simple difieren en algún punto de un sector, los bloques restantes en ese sector se desviarán. En ese sentido, en comparación con XTS, se reducen las capacidades del atacante para el análisis del tráfico de CBC + ESSIV. Por ejemplo, si dos versiones de un sector determinado usan el mismo valor de texto plano para el bloque 13, esto será evidente con XTS, no así con CBC (a menos que las versiones de los 12 sectores anteriores tampoco se modifiquen).

Por otro lado, un atacante activo suele ser más feliz con el CBC, porque puede alterar los bits a voluntad dentro de un bloque (siempre que no le importe reemplazar el bloque anterior con basura aleatoria incontrolable).

Entonces no, dm-crypt no tiene las mismas vulnerabilidades exactas que TrueCrypt. Los escenarios previstos (escuchas repetidas del mismo disco, alteraciones hostiles ...) no son el objetivo principal del cifrado de disco completo; En realidad, FDE estaba destinado a la situación de "computadora portátil robada", en la que nunca se recupera, nunca. Ninguna de las dos soluciones se comporta bien contra un atacante más trabajador, pero no fallan exactamente de la misma manera.

    
respondido por el Tom Leek 28.07.2014 - 20:23
fuente

Lea otras preguntas en las etiquetas