web-dev-qa-db-fra.com

Existe-t-il des vulnérabilités connues à la fonctionnalité de chiffrement intégral du disque d'Ubuntu?

Existe-t-il des vulnérabilités connues à la fonctionnalité de chiffrement intégral du disque d'Ubuntu?

J'utilise certains périphériques de stockage (clé USB et quelques disques durs externes utilisés pour les sauvegardes) avec un cryptage intégral du disque. Ainsi, en cas de perte ou de vol, mes données ne peuvent pas être récupérées. Est-ce un faux sentiment de sécurité?

Si quelqu'un obtenait un lecteur crypté, serait-il possible de casser le cryptage, et si oui, combien de temps cela prendrait-il?

EDIT: Pour clarifier, je ne parle que de lecteurs non amorçables. Je suis conscient des vulnérabilités des lecteurs cryptés qui sont toujours utilisés pour démarrer le système d'exploitation.

9
Cerin

Il n’existe actuellement aucune vulnérabilité de chiffrement dans Ubuntu 11.10. Il y en a eu. Généralement, les vulnérabilités ecryptfs impliquaient un attaquant déjà connecté à votre système qui pourrait provoquer un déni de service. Il y avait un problème LUKS dans lequel les utilisateurs étaient surpris qu'une simple option de configuration dans un outil de partitionnement puisse détruire complètement et définitivement une partition.

Dans environ 5 * 10 ^ 9 ans, nous prévoyons que cette planète sera engloutie par le soleil en expansion. Le chiffrement AES-256 peut très probablement résister aux attaques aussi longtemps. Cependant, comme vous semblez le savoir, il existe de nombreuses autres faiblesses potentielles qu'il convient de répéter.

Saurez-vous que vous avez crypté le disque efficacement? C'est compliqué. Les personnes réfléchies ne sont pas d’accord sur les options d’installation qui sont suffisamment efficaces. Saviez-vous que vous êtes censé installer le chiffrement de disque complet à partir du CD d'installation secondaire d'Ubuntu à l'aide de LUKS, et non d'ecryptfs? Saviez-vous que LUKS a stocké la phrase secrète dans RAM en texte brut ou qu'une fois qu'un fichier est déverrouillé par un utilisateur via ecryptfs, e-cryptfs ne le protège pas des autres utilisateurs? Votre disque a-t-il déjà été connecté à un système autorisant la connexion d'un stockage non chiffré, plutôt que de définir une stratégie SELinux explicite pour interdire cela? Où avez-vous conservé vos sauvegardes de votre disque crypté? Vous avez effectué des sauvegardes parce que vous saviez que les disques cryptés sont beaucoup plus sensibles aux erreurs normales, n'est-ce pas?

Êtes-vous sûr que votre phrase secrète ne fait pas partie des milliards de possibilités (qui ressemblent à des milliards de dollars, ou quoi que ce soit maintenant)? La personne qui tente de déchiffrer votre disque est-elle vraiment un étranger aléatoire, mal motivé, mal financé, sans ressources? Etes-vous sûr que votre phrase secrète n'aurait pas pu être obtenue par une falsification logicielle (attaque de "bonne fille"), en observant le système en cours d'exécution (attaques de type "épaule", "sac noir" ou "à froid"), etc.? Dans quelle mesure avez-vous évité les attaques générées par tous: courrier électronique et virus de téléchargement, JavaScript malveillant, phishing?

Dans quelle mesure vous engagez-vous à garder votre phrase secrète secrète? Dans quelles juridictions serez-vous? Seriez-vous content d'aller en prison? Existe-t-il d'autres personnes connaissant les secrets protégés par le cryptage de votre disque? Voulez-vous payer le prix de vos secrets même si ces personnes les révèlent?

10
minopret