symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
dm-crypto soll Cryptoloop in Linux 2.6 ersetzen
Veröffentlicht durch tbf am Montag 01. Maerz, 14:55
Aus der Anfängerfehler Abteilung
Linux Ein AF schreibt "Wie HeiSec berichtet, hat Andrew Morton bekanntgegeben, dass er vor hat, die Cryptoloop-Implementation für verschlüsselte Loopback-Filesysteme aus der 2.6er-Linie des Linux-Kernels zu entfernen. Grund ist ein einer Backdoor gleichender Designfehler. Das Modul dm-crypto soll die Nachfolge antreten."

Der Designfehler besteht darin, dass aufgrund der Arbeitsweise des Cryptoloops zum Beispiel auch Superblöcke, Inhaltsverzeichnisse und die Listen freier Datenblöcke mit dem gleichen Passwort, wie die wirklich geheimen Daten verschlüsselt werden. Dadurch enthält jedes cryptoloop-verschlüsselte Dateisystem wohlbekannte Daten an wohlbekannten Positionen. Diese Art der Schwachstelle ist als "known-plaintext-Attacke" altbekannt und wurde schon der Enigma-Maschine im zweiten Weltkrieg zum Verhängnis.

Wer sich von dem Problem nicht beirren lässt, findet übrigens auf der Pro-Linux-Frontpage eine Anleitung zur Verwendung der AES-Variante des Cryptoloops.

Gentoo 2004.0 veröffentlicht | Druckausgabe | Switch.ch auf dem Zahnfleisch  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Heise
  • Heise Security
  • Linux
  • Pro-Linux
  • HeiSec berichtet
  • hat Andrew Morton bekanntgegeben
  • Cryptoloop
  • Backdoor gleichender Designfehler
  • dm-crypto
  • known-plaintext-Attacke
  • Enigma-Maschine
  • Pro-Linux-Frontpage
  • AES-Variante des Cryptoloops
  • Mehr zu Linux
  • Auch von tbf
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    So gravierend ist die Sicherheitsluecke nicht (Score:0)
    Von Anonymer Feigling am Monday 01. March, 15:23 MEW (#1)
    Selbst mit einer Known-Plaintext Attacke bleibt einem Angreifer AFAIK nach heutigem Kenntnisstand bei AES und anderen modernen Ciphern nichts anderes als die komplette Suche im ganzen moeglichen Suchraum uebrig. Das ist schon bei einem 128-bit Schluessel und bei einem 192 oder gar 256-bit Schluessel sowieso prohibitiv.
    Re: So gravierend ist die Sicherheitsluecke nicht (Score:2)
    Von pfr am Monday 01. March, 15:57 MEW (#3)
    (User #4 Info) http://www.math.ethz.ch/~pfrauenf/
    nichts anderes als die komplette Suche im ganzen moeglichen Suchraum uebrig

    Wenn du das online machen musst, dann ist das schlimm. Wenn du aber ein Dictionary vorbereiten kannst und dann nur noch dadrauf eine binäre Suche laufen lassen musst, dann ist das nicht mehr so schlimm. Sprich: das Knacken wird einem so zu einfach gemacht.
    --
    Kühe geben keine Milch, die Bauern nehmen sie ihnen weg!

    Re: So gravierend ist die Sicherheitsluecke nicht (Score:0)
    Von Anonymer Feigling am Monday 01. March, 16:12 MEW (#4)
    Solche Angriffe (Chosen Plaintext) sollten auf AES nicht funktionieren, da eine statistische Auswertung des Chiffrats keinen Hinweis auf den verwendeten Schluessel geben sollte. Eine binaere Suche ist deshalb nicht moeglich. Wenn jemand schon den Plaintext waehlen kann (was in der Regel bei einem verschluesselten Filesystem nicht der Fall ist), besteht ebenfalls die Gefahr, dass er einzelne Bloecke vertauschen kann (da AFAIK bei Cryptoloop immer noch der ECB Modus eingesetzt wird).

    Das Problem ist im Moment also eher theoretischer Natur, zumindest so lange, bis jemand einen effektiven Angriff auf AES (oder andere verwendete Cipher wie Twofish) findet.
    Re: So gravierend ist die Sicherheitsluecke nicht (Score:2)
    Von pfr am Tuesday 02. March, 09:01 MEW (#14)
    (User #4 Info) http://www.math.ethz.ch/~pfrauenf/
    Solche Angriffe (Chosen Plaintext) sollten auf AES nicht funktionieren, da eine statistische Auswertung des Chiffrats keinen Hinweis auf den verwendeten Schluessel geben sollte.

    Es geht nicht um darum, dass mit Kryptanalyse und eine Chosen plaintext Attacke etwas gegen AES unternehmen kann, sondern dass durch das fehlende Salt im Passwort eine Dictionary Attacke möglich wird. Das ist unten bestens erklärt und diskutiert.
    --
    Kühe geben keine Milch, die Bauern nehmen sie ihnen weg!

    Re: So gravierend ist die Sicherheitsluecke nicht (Score:1, Informativ)
    Von Anonymer Feigling am Monday 01. March, 17:46 MEW (#6)
    >Selbst mit einer Known-Plaintext Attacke bleibt
    >einem Angreifer [..] nichts anderes als die
    >komplette Suche im ganzen moeglichen Suchraum
    >uebrig

    1. ist der suchraum realistischerweise nicht die 128/192/256 bit, sondern nur die entropie des passwortes (selbst bei gutem pw kaum viel höher als ca 40 bit).
    2. das schlimme an der known-plaintext attacke ist in diesem fall aber das folgende: aufgrund des unseeded (unsalted) key-setup prozesses und der völlig vorhersehbaren berechnung der iv's hängt der cypher text gewisser bekannter teile des filesystems (teile des superblocks) einzig vom gewählten passwort ab. konsequenz: ein sehr mächtiger angreifer kann für ein dictionary mit ca. 2^40 passwörter (realistisch) den resultierenden cyphertext für alle passwörter offline und im voraus(!) berechnen. ist dies erst mal getan, so besteht ein angriff dann wirklich nur noch aus einer suche des beim opfer vorgefundenen cyphertexts mittels binärer suche. aufwand: lediglich ca 40 lesezugriffe auf die einige dutzend terabyte grosse datenbank mit den vorberechneten cyphertexts - dauert also keine sekunde!
    Re: So gravierend ist die Sicherheitsluecke nicht (Score:1, Informativ)
    Von Anonymer Feigling am Monday 01. March, 18:51 MEW (#8)
    Naja, für die meisten Passwörter wohl schon. Für wichtige Dinge, bei denen das Passwort gleichzeitig der Schlüssel ist, sollte man natürlich lange Passwörter verwenden, die nicht durch ein Wörterbuch generiert werden. Für temporäre Daten (/tmp/, Swap) kann man das Passwort gut auch mit /dev/random generieren.
    Re: So gravierend ist die Sicherheitsluecke nicht (Score:2, Informativ)
    Von tbf am Monday 01. March, 19:24 MEW (#9)
    (User #21 Info) http://taschenorakel.de/
    Das erwähnte Dictionary, welches die gesamte "entropie des Suchraums" abdecken würde, enthielte alle 2^40 Passwörter. Die von diesem Dictionary benötigte Datenmenge: Höchstens einige wenige Terabyte - also ein kleines SAN aus 100 GB Platten (schlimmstenfalls). /dev/random hilft nicht gegen dieses Wörterbuch.
    --
    Addicted by code poetry...
    Re: So gravierend ist die Sicherheitsluecke nicht (Score:1, Informativ)
    Von Anonymer Feigling am Monday 01. March, 19:46 MEW (#10)
    Ein aus /dev/random zusammengesetzter Schlüssel mit 256 bit Länge oder auch schon ein sonstiger Key mit 13 Zeichen oder mehr hilft IMHO gut gegen jede in der Praxis durchführbare Wörterbuchattacke. Bereits bei 2^64 Bit ist für die meisten Angreifer wohl schon längstens Feierabend. Wenn das Wörterbuch nicht greift, bleibt wieder nur Brute Force.

    Da aus der Passphrase noch eine Hashwert (z.B. auf 256 bit) generiert wird, wird der Suchraum noch grösser, oder aber die Attacke beschränkt sich wirklich nur auf ein fixes Wörterbuch, da ein Angreifer ja nicht zum Vornherein weiss, welche der 2^256 möglichen Schlüssel nun der Hashwert eines schlechten Passworts sind.
    Re: So gravierend ist die Sicherheitsluecke nicht (Score:1)
    Von tele (pse at patom dot ch) am Monday 01. March, 21:24 MEW (#11)
    (User #448 Info)
    Allerdings ist ein Passwort aus /dev/random problemlos mehr als 40 bit "lang", also nützt das Wörterbuch bzw. die Vorausberechnung da auch wieder nichts.
    PW aus /dev/random (Score:1)
    Von kruemelmonster (symlink0403.5.kruemi@spamgourmet.com) am Tuesday 02. March, 08:34 MEW (#12)
    (User #3 Info) http://www.tedaldi.net/
    und du merkst dir das PW im Kopf?

    Denn ansonsten (wenn du das PW irgendwo abspeicherst) ist eh die ganze Sicherheit weg, da spielen dann implementationsfehler keine Rolle mehr...
    Die grösste Sicherheitslücke sitzt immer noch zwischen Tastatur und Stuhllehne!
    Re: PW aus /dev/random (Score:0)
    Von Anonymer Feigling am Tuesday 02. March, 08:45 MEW (#13)
    Nein, ich merke mir das PW gar nicht, ich bekomme es auch gar nie zu Gesicht. Temporäre Daten brauche ich nicht über einen Neustart hinaus. Für die Verschlüsselung der Daten, die man weiterhin braucht, muss man sich das PW natürlich schon merken. Ich merke mir jeweils, wie sich das Eintippen auf der Tastatur anfühlt, dann liegen >=15 Zeichen schon drin. Wenn die Daten auf einem Server liegen, der durchgehend läuft, muss man das PW ja nicht so oft eingeben.
    Re: PW aus /dev/random (Score:2)
    Von P2501 am Tuesday 02. March, 09:28 MEW (#15)
    (User #31 Info) http://www.p2501.ch/

    und du merkst dir das PW im Kopf?

    Sagt dir das Wort "Smartcard" etwas? Oder falls es nicht ganz so sicher sein muss, tuts auch ein USB-Schlüsselanhänger.

    Ganz abgesehen davon habe ich cryptoloop eigentlich immer als Lösung für Heimanwender gesehen, die nicht wollen, das jemand mit physischem Zugriff auf den Computer (Nachwuchs etc.) an ihre Daten kommt. Dafür ist es allemal ausreichend. Wirklich sichere Lösungen sollten IMHO unter anderem auf Dateisystemebene realisiert werden, und für jede Datei einen anderen Schlüssel verwenden.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.
    schon bekannt (Score:0)
    Von Anonymer Feigling am Monday 01. March, 15:32 MEW (#2)
    ..selbst in der cryptoloop doku wird auf dieses Problem hingewiesen..


    Schachstelle (Score:0)
    Von Anonymer Feigling am Monday 01. March, 16:20 MEW (#5)
    Der Bericht hat eine Schachstelle. ;-)
    dm-crypt momentan noch genauso schlecht! (Score:0)
    Von Anonymer Feigling am Monday 01. March, 17:59 MEW (#7)
    dm-crypt hat ja dasselbe problem im moment auch noch!
    dem cryptsetup-script (http://www.saout.de/misc/cryptsetup) ist zu entnehmen, dass der beim berechnen des keys (d.h. beim hashen des passworts) kein salt verwendet wird. d.h. der key hängt wieder lediglich vom passwort ab! da bei der verschlüsselung standardmässig die sektor-nummer als iv verwendet wird, führt dies dazu, dass der cyphertext der bekannten stellen des superblock-sektors wieder nur vom passwort abhängen und somit der ganze dictionary attack möglich ist.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen