Portál AbcLinuxu, 10. května 2025 07:29

Dotaz: LUKS a zjištění hesla z klíče

xkucf03 avatar 30.4.2012 12:32 xkucf03 | skóre: 49 | blog: xkucf03
LUKS a zjištění hesla z klíče
Přečteno: 438×
Odpovědět | Admin
Vzhledem k možnosti cryptsetup luksSuspend, který zahodí šifrovací klíče a zastaví všechny IO operace na daném zařízení (dokud se nezavolá luksResume), mne napadla taková konfigurace: disk bude rozdělen na dva oddíly a oba budou zašifrované LUKSem, na prvním bude systém a na druhém data. Abych nemusel při startu zadávat dvě hesla, budou u obou oddílů stejné (ale klíče budou jiné). Při opuštění počítače zavolám luksSuspend na datový disk – ten bude v bezpečí, zatímco systémový (asi včetně swapu) bude za určitých okolností napadnutelný (zmrazení paměti a následné vyčtení klíče).

Je nějaké riziko v tom, že hesla budou stejná? Předpokládám, že heslo se hned po dešifrování klíče zahodí a nikde v paměti se nedrží, ale nemůže útočníkovi pomoci, že zná šifrovaný i dešifrovaný klíč k systémovému disku, k tomu, aby zjistil heslo (a tím pádem i heslo ke klíči datového disku)?
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Řešení dotazu:

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

30.4.2012 13:50 NN
Rozbalit Rozbalit vše Re: LUKS a zjištění hesla z klíče
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nekryptuj system pouze data a mas po problemu..

NN
30.4.2012 15:33 misch | skóre: 3
Rozbalit Rozbalit vše Re: LUKS a zjištění hesla z klíče
No, co jsou to vlastně data? Patří mezi ně i /etc, /root/.bash_history apod.? Já bych šifroval všechno :)
Jendа avatar 1.5.2012 16:40 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS a zjištění hesla z klíče
Ano, má.

Franta: Heslo se hashuje, ale netuším, jestli nezůstane třeba v nějakém jaderném klávesnicovém bufferu. Dumpni si paměť (třeba virtuálu) a použij grep.

Já bych to řešil opačně - na datové partition měl klíč (soubor s náhodnými daty) k / a při bootu odemkl heslem datovou partition a z ní pak klíčem to /.
xkucf03 avatar 23.5.2012 11:42 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS a zjištění hesla z klíče
Ok, je to sice složitější*, ale zase je to jistota, vyřešeno.

*) odšifrovat jeden oddíl, na něm najít klíč a odšifrovat jím druhý -- místo použití jednoho hesla pro oba oddíly
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.