Existe-t-il des vulnérabilités connues à la fonction de chiffrement complet du disque d'Ubuntu?

9

Existe-t-il des vulnérabilités connues à la fonction de chiffrement complet du disque d'Ubuntu?

J'ai certains périphériques de stockage (clé USB et quelques disques durs externes utilisés pour les sauvegardes) que j'utilise avec un cryptage complet du disque, de sorte que s'ils sont perdus ou volés, mes données ne peuvent pas être récupérées. Est-ce un faux sentiment de sécurité?

Si quelqu'un devait obtenir un lecteur crypté, serait-il possible pour lui de briser le cryptage, et si oui, combien de temps cela prendrait-il?

EDIT: Pour clarifier, je ne pose que des questions sur les lecteurs non amorçables. Je suis conscient des vulnérabilités des lecteurs chiffrés qui sont toujours utilisés pour démarrer le système d'exploitation.

Cerin
la source
1
Quel algorithme / programme avez-vous utilisé pour crypter les disques? Quel est le niveau de sécurité de ton mot de passe?
BrownE
@BrownE, j'ai utilisé l'interface graphique "Utilitaire de disque" d'Ubuntu ainsi que "cryptsetup" depuis la ligne de commande. Mon mot de passe compte environ deux douzaines de caractères, donc assez sécurisé.
Cerin

Réponses:

10

Il n'y a aucune vulnérabilité actuellement connue dans le cryptage dans Ubuntu 11.10. Il y en a eu. Généralement, les vulnérabilités ecryptfs impliquaient un attaquant déjà connecté à votre système qui pourrait provoquer un déni de service. Il y avait un problème LUKS dans lequel les utilisateurs étaient surpris qu'une simple option de configuration dans un outil de partitionnement puisse détruire complètement et définitivement une partition.

Dans environ 5 * 10 ^ 9 ans, nous nous attendons à ce que cette planète soit engloutie par le soleil en expansion. Le chiffrement AES-256 peut très probablement résister à une attaque aussi longtemps. Cependant, comme vous semblez le savoir, il existe de nombreuses autres faiblesses potentielles et elles méritent d'être répétées.

Serez-vous que vous avez chiffré le disque efficacement? C'est compliqué. Les personnes réfléchies ne s'entendent pas sur les options d'installation qui sont suffisamment efficaces. Saviez-vous que vous êtes censé installer le chiffrement complet du disque à partir du CD d'installation alternatif d'Ubuntu en utilisant LUKS, pas ecryptfs? Saviez-vous que LUKS a stocké la phrase secrète dans la RAM en texte brut, ou qu'une fois qu'un fichier est déverrouillé par un utilisateur via ecryptfs, ecryptfs ne le protège plus d'aucun autre utilisateur? Votre disque a-t-il déjà été connecté à un système qui permettait de connecter un stockage non chiffré, plutôt que de définir une stratégie SELinux explicite pour l'interdire? Où avez-vous conservé vos sauvegardes de votre disque crypté? Vous avez fait des sauvegardes parce que vous saviez que les disques chiffrés sont beaucoup plus sensibles aux erreurs normales, non?

Êtes-vous sûr que votre phrase secrète ne figure pas parmi les milliards de dollars (plus comme des milliards de dollars, ou quoi que ce soit maintenant) de possibilités qui pourraient être devinées? La personne qui tente de décrypter votre disque est-elle vraiment un étranger aléatoire, mal motivé et financé, sans ressources? Êtes-vous sûr que votre phrase secrète n'aurait pas pu être obtenue par falsification de logiciels (attaque "evil maid"), observation du système en cours d'exécution (attaques "épaule surfante", "sac noir" ou "démarrage à froid"), etc.? Dans quelle mesure avez-vous évité les attaques que tout le monde obtient: virus de messagerie et de téléchargement, JavaScript malveillant, phishing?

À quel point êtes-vous déterminé à garder votre phrase secrète secrète? Dans quelles juridictions serez-vous? Seriez-vous content d'aller en prison? Y a-t-il d'autres personnes qui connaissent les secrets protégés par le chiffrement de votre disque? Voulez-vous payer le prix de vos secrets même si ces personnes les révèlent?

minopret
la source
Intéressant. Je dois noter que je ne crypte que les disques utilisés pour les sauvegardes. Pas les disques de démarrage principaux utilisés sur mes machines.
Cerin
Y a-t-il des preuves que le soleil va s'étendre pour engloutir la Terre dans 5 milliards d'années? De plus, votre disque dur ne serait-il pas sur une planète plus saine d'ici là?
nanofarad
1
Bien qu'il y ait des preuves du sort éventuel du Soleil à partir du diagramme de Hertzsprung-Russell (que vous pourriez rechercher), vous avez correctement détecté que je l'ai mentionné juste pour le plaisir. Le fait est que les techniques de chiffrement standard peuvent être la moindre de vos vulnérabilités. Si vous êtes sérieux au sujet du secret, vous devrez considérer ce contre quoi vous vous protégez (votre modèle de menace) et peser vos contre-mesures en conséquence.
minopret