web-dev-qa-db-fra.com

Comment protéger LUKS des décharges Ram?

Je souhaite protéger mes données de toute personne souhaitant y accéder, y compris de la NSA.

J'ai utilisé le cryptage intégral du disque sur mon INSTALLATION Kubuntu et je ne fais jamais rien à moitié.

J'ai cherché comment craquer LUKS, et cela m'a pris un certain temps, mais j'ai finalement trouvé cet article sur la manière dont toute personne disposant d'une clé USB vivante peut craquer le cryptage LUKS.

https://0x00sec.org/t/breaking-encryption-hashed-passwords-luks-devices/811

Comment protéger mon disque d'une telle attaque? C'est jusqu'à ce que les ordinateurs quantiques cassent RSA 4096.

1
Johan Liebert

Vous ne pouvez pas, pas avec LUKS. La possibilité de cette attaque est une fonctionnalité, pas un bug. Cela permet au système de garder le volume ouvert après la reprise de la suspension.

Cependant, la cryptographie joue en votre faveur pour atténuer les conséquences de cette attaque au point de devenir non viable si vous choisissez

  1. un algorithme de hachage de phrase sécurisée (voir l'option --hash de cryptsetup(8)) et
  2. une phrase secrète ou un magasin de clés "sécurisé".

Pour (1.), la valeur par défaut devrait être correcte avec un noyau raisonnablement récent et la version cryptsetup. Vous pouvez toujours modifier l’algorithme de hachage ultérieurement (à condition de connaître la phrase de passe ou la clé de volume correcte).

Pour (2.), reportez-vous aux instructions courantes pour choisir des phrases de passe. Beaucoup de gens semblent s'accorder pour dire que la bande dessinée de Randall Munroe illustre un schéma viable pour ce choix. Les clés stockées sur des cartes à puce constituent une autre option. Vous pouvez également jumeler les deux.

3
David Foerster