The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в cryptsetup, позволяющая отключить шифрование в LUKS2-разделах"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в cryptsetup, позволяющая отключить шифрование в LUKS2-разделах"  +/
Сообщение от opennews (?), 15-Янв-22, 22:41 
В пакете Cryptsetup, применяемом для шифрования дисковых разделов в Linux, выявлена уязвимость (CVE-2021-4122), позволяющая через модификацию метаданных добиться отключения шифрования в разделах в формате LUKS2 (Linux Unified Key Setup). Для эксплуатации уязвимости атакующий должен иметь физический доступ к зашифрованному носителю, т.е. метод имеет смысл в основном для атаки на зашифрованные внешние накопители, такие как Flash-диски, к которым злоумышленник имеет доступ, но не знает пароля для расшифровки данных...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56513

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от А где же каменты (?), 15-Янв-22, 22:41   –4 +/
Закладка он анб
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 15-Янв-22, 22:51   –24 +/
Вот поэтому я пользуюсь нормальными решениями типа bitlocker
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #19, #32

3. Сообщение от Аноним (3), 15-Янв-22, 22:56   +6 +/
Только битлогер по-моему даже по силе шифрования не отвечает анбшным стандартам для секретных данных (только самому минимальному для лайтового шифрования). Т.е. недостаточно секретен и у злоумышленников могут быть средства для дешифровки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #6, #34

4. Сообщение от Аноним (3), 15-Янв-22, 22:58   –2 +/
Зато вот если ты потеряешь доступ к своим данным, то с ними можно попрощаться. Впрочем, для типового использования "хранить фоточки любимой кошки на лаптопе" его вполне достаточно и тут разрабы трукрипта вполне правы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #26

5. Сообщение от Аноним (5), 15-Янв-22, 23:09   +8 +/
Debian со своим подходом:

[buster] - cryptsetup <not-affected> (Vulnerable code not present; does not support online LUKS2 reencryption)
[stretch] - cryptsetup <not-affected> (Vulnerable code not present; does not support LUKS2)

LMAO.

// b.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #20

6. Сообщение от . (?), 15-Янв-22, 23:11   –4 +/
Угу, у мистических злоумышленников в сферическом вакууме - конечно могут быть. (паяльник, к примеру).

Но я вполне уверен что ты, васян с воппеннета - ничегошеньки там не расшифруешь, и мне этого достаточно чтоб не прятать шифрованную флэшку в сейф, отходя за кофе, а просто ее выдернуть. А вот с шитсетап или как там оно у л@п4..х называется - увы и ах, но справится любой дятел вроде тебя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8

7. Сообщение от Аноним (7), 15-Янв-22, 23:20   +/
>> для начала расшифровки хэш не требуется, если новое состояние подразумевает отсутствие ключа для шифрования (plaintext).

Моя не понимайт... Так “для начала расшифровки”, или “указания необходимости запуска расшифровки при следующем подключении”? Вещи же совершенно разные...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

8. Сообщение от Аноним (3), 15-Янв-22, 23:21   +4 +/
Продолжай и дальше верить в секурность проприетарных поделок. Васян с впопенета вполне может иметь доступ к необходимым технологиям, другое дело, что зависит от того, насколько ценные и интересные эти твои данные. Если там миллион биткоинов,  почаще об этом сообщай всем, вот и проверишь, насколько безопасно зашифровано было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #54

9. Сообщение от Аноним (9), 15-Янв-22, 23:26   +/
В кальке в дефолтном sys-fs/cryptsetup собран и поставляется пакет без поддержки reencrypt (use не включен соответствующий)

2.3.6-r2(0/12)(21:40:09 04.01.2022)(argon2 nls openssl udev -gcrypt -kernel -nettle -pwquality -reencrypt -static -static-libs -urandom)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #38, #44

10. Сообщение от Rev (?), 15-Янв-22, 23:27   +2 +/
Но ведь уже давно есть [bullseye], в нём всё так же, что ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #37

11. Сообщение от Аноним (3), 15-Янв-22, 23:31   –3 +/
Хоть что-то там собрано с адекватными юзами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17, #70, #72, #18, #22, #25, #31, #85

14. Сообщение от Аноним (14), 15-Янв-22, 23:36   –2 +/
zfs умеет шифрование, причем выборочное (целиком пул шифровать не обязательно).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #23

15. Сообщение от Аноним (9), 15-Янв-22, 23:38   +3 +/
Это и ext4 умеет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

17. Сообщение от Аноним (9), 15-Янв-22, 23:39   +/
подскажи неадекватные юзы у них, пользуюсь калькой, мне актуально

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #21

18. Сообщение от Аноним (9), 15-Янв-22, 23:40   +/
человек-аноним
выше толпа таких же анонимов комментирует, что ты там написал, чтобы тебя минусовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

19. Сообщение от Аноним (19), 15-Янв-22, 23:47   +/
На нос не дави так сильно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

20. Сообщение от rm1 (?), 15-Янв-22, 23:48   +3 +/
Works as intended, нефиг сразу пихать слишком новый непроверенный софт с дырами в stable.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #47, #96

21. Сообщение от Аноним (3), 15-Янв-22, 23:48   –1 +/
Давно дропнул, раньше постоянно пересобирать половину пакетов приходилось из-за какой-то дичи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #75

22. Сообщение от Аноним (19), 15-Янв-22, 23:48   +/
Тебя не обманеш?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #73

23. Сообщение от Аноним (19), 15-Янв-22, 23:50   +2 +/
Насколько выборочное что шифровать метадату она умеет только костылями (как впрочем и все другие фс с поддержкой шифрования). Full-disk encryption все таки не про то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

24. Сообщение от Аноним (24), 16-Янв-22, 00:15   –1 +/
не зря я на luks1 сижу, и хэдер проще бекапить, т.к. пару мбайт занимает
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (25), 16-Янв-22, 00:16   +2 +/
Если ты программист, то я - Фотошоп?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

26. Сообщение от Аноним (26), 16-Янв-22, 00:18   –4 +/
Откуда вы такие берётесь... Как ты потеряешь свои данные? Флэшку выронишь? Вот кто-нибудь другой её и перебрутфорсит на ноуте за пару дней, потом будешь радоваться, что все твои данные в целостности и сохранности на форче залили. Возможно даже место работы сменишь, если это были документы, которые по сути и не особо твои
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #30, #92

27. Сообщение от Аноним (26), 16-Янв-22, 00:24   +/
По идее чтобы начать зашифровку в новый ключ, нужно знать новый ключ. Знание хэша не поможет. Но если LUKSу дана задача тупо расшифровать данные (нулевой ключ), то и хэш не нужен, и видимо виновник сабжа решил, что оставлять по сути команду для люкса о расшифровке накопителя в незашифрованном виде на этом самом накопителе, учитывая векторы атаки — хорошая идея.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

29. Сообщение от Аноним (26), 16-Янв-22, 00:31   +/
Объясните мне дураку, кому может понадобится фича автоматической расшифровки накопителя с любого компа, куда бы носитель не воткнули и не открыли ключом? Такие вещи можно обычным скриптом и явной командой сделать, зачем переусложнять формат и пихать метаданные?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #46

30. Сообщение от Аноним (3), 16-Янв-22, 00:32   +/
Мало ли вариантов потерять доступ к данным при сохранении физического доступа? Ключ слетит и привет, поделки этим славятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #39, #59

31. Сообщение от Михрютка (ok), 16-Янв-22, 00:40   +1 +/
>>>Минуссируйте меня минуссируйте меня полносстью токссичное ссообщество токссичное

//сспелчек фиксс

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

32. Сообщение от Михаилemail (??), 16-Янв-22, 00:43   +6 +/
Нормальными — это Veracrypt.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #66, #80

33. Сообщение от Аноним (19), 16-Янв-22, 00:43   +/
Чтобы у тебя контейнер не поломался если ты во время фоновой перешифровки ребутнешься или крашнешься
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

34. Сообщение от Михаилemail (??), 16-Янв-22, 00:44   +/
По умолчанию AES-128, через групповые политики можно переключить на AES-256.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #58

35. Сообщение от asdsad (?), 16-Янв-22, 00:53   +1 +/
Стоять, уязвимость в cryptsetup, т.е. ничего не изменится? Зачем злоумышленнику использовать "правильный" вариант утилиты?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

36. Сообщение от Анонимemail (36), 16-Янв-22, 01:21   –1 +/
Обидно немного. Неужели в таком деле нельзя было один раз подумать нормально и всё предусмотреть? Это же не за указателями в сишечке неустанно следить, а просто один раз продумать и написать стандарт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #45, #57

37. Сообщение от Аноним (37), 16-Янв-22, 01:25   +1 +/
Ого, уже есть свежачок, подожду еще год два и обновлюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

38. Сообщение от Аноним (38), 16-Янв-22, 01:39   +/
Я не верю что ты правда так думаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

39. Сообщение от qwe (??), 16-Янв-22, 02:10   +2 +/
cryptsetup luksHeaderBackup ... - это первое что строго рекомендуют сделать сразу после создания зашифрованного раздела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #83

40. Сообщение от x3who (?), 16-Янв-22, 03:18   +2 +/
Там доброумышленник вставляет диск со своими педофильскими фоточками в  комп, как обычно вводит пароль и диск начинает незаметно для него расшифровываться потому что товарищ майор подкрутил метаданные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от x3who (?), 16-Янв-22, 03:20   +4 +/
Лучше сразу писать третью версию стандарта, третьи версии всегда самые лучшие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

44. Сообщение от Аноним (44), 16-Янв-22, 08:38   +3 +/
Чел, ты... https://www.cvedetails.com/top-50-vendors.php

Microsoft - 8701 CVEs
Linux - 2758 CVEs

Linux такой "несекурный" что его даже "тупые" американцы на бортовых компах МКС крутят

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #51

45. Сообщение от . (?), 16-Янв-22, 08:53   –2 +/
Чувак, это ж linoops, тут думать - вообще некому и нечем.

Традиция 1995го, что-ли, года. (когда оказалось что encrypted loop device так оригинально использует des, что получается xor)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #49, #52

46. Сообщение от тов. майор (?), 16-Янв-22, 08:55   +/
Мне, мне очень нужна!

> Такие вещи можно обычным скриптом и явной командой сделать, зачем переусложнять формат и пихать
> метаданные?

так т-пенький пользователь может перенапрячь свой межушный ганглий. Надо все делать тихо и незаметно для него. А то вдруг у него "контейнер упадет".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #69

47. Сообщение от john_erohin (?), 16-Янв-22, 09:07   +/
прошу уточнить. "слишком новый" - это сколько (в месяцах и годах) ?
также приму ответ в виде интервала или наобора интервалов, в зависимости от свойств софта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #82

48. Сообщение от Аноним (48), 16-Янв-22, 09:35   +/
тяжелое наследие truecrypt, надежней не бывает говорили они... есть же fscrypt...
Ответить | Правка | Наверх | Cообщить модератору

49. Сообщение от Аноним (49), 16-Янв-22, 09:51   –1 +/
https://www.opennet.ru/openforum/vsluhforumID3/126439.html#44
А некоторые вообще думают в другую сторону.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

50. Сообщение от Аноним (-), 16-Янв-22, 09:57   +/
> добавили в LUKS2 дополнительную защиту метаданных ... т.е. атакующий теперь не может незаметно изменить метаданные, не зная пароля для расшифровки

В смысле не может? В коде только "luks2_reencrypt_digest", который создаёт подпись только для/в случае reencryption, а остальные метаданные "так и остались". Из новости это звучит как "глобальный хэш для всех метаданных", а всё из-за того, что автор поленился добавить куски кода.

Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Тот самый (?), 16-Янв-22, 10:20   +/
>Чел, ты... https://www.cvedetails.com/top-50-vendors.php
>Microsoft - 8701 CVEs
>Linux - 2758 CVEs

Debian - 5799 CVE
Redhat - 3999 CVE
Canonical - 3129 CVE
Fedoraproject - 2713 CVE
Opensuse - 2492 CVE

Чел, ты похоже не в курсе, что в отличие от Windows, которую пилит только одна компания (Microsoft), Linux выпускают много вендоров

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #53

52. Сообщение от Vasyan2 (ok), 16-Янв-22, 10:23   +/
Как правила нарушать так только из-под анонима?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

53. Сообщение от Ananimasss (?), 16-Янв-22, 10:32   +1 +/
дай угадаю, большинтво этих цве будет относиться к стороннему софту.
накинь-ка тогда цве от офисов эксченжей и прочего от твоих любимых мелкомягких. для начала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #104

54. Сообщение от Аноним (54), 16-Янв-22, 10:34   +/
Конечно сейчас мы увидим ссылочки на новости по взломам битлокера и какие они плохие проприетарные подделки? Нет, я так не думаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #84

56. Сообщение от Онаним (?), 16-Янв-22, 10:57   +/
Ух ты, какой жЫрный бэкдор выпилили.
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от Онаним (?), 16-Янв-22, 10:58   +/
Так всё и было нормально предусмотрено, просто кто-то надеялся, что это обнаружено не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #63

58. Сообщение от Онаним (?), 16-Янв-22, 11:00   +/
Не обязательно даже через GP, можно просто консольной утилитой инициировать шифрование с нужными параметрами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #62

59. Сообщение от Аноним (26), 16-Янв-22, 11:03   +1 +/
Жду примеров того, как слетали ключи с разделов. И почему вы так уверенны, что битлокер - не такая же поделка (которую кстати используют полтора инвалида, даже майки не предлагают эту штуку хотя бы при установке включить), только с другой политикой? Что такого они хотят спрятать в коде? Украденный GPL код?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

60. Сообщение от Аноним (26), 16-Янв-22, 11:09   +1 +/
> отличный результат с учетом: закрытости, на порядок большей распространённости,

чё то вспомнился недавний прикол с датами в почтовом сервере от майков, где вместо эпох-тайма использовалась какая-то битмапная кодировка циферек из календаря. Очень секюрно, очень нравица.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

62. Сообщение от . (?), 16-Янв-22, 11:54   –1 +/
Но зачем? Я сомневаюсь в умении типичного васяна с впопеннета взломать банальный xor (хотя бы сообразить что это именно xor и как ломать).

А у товарищмайора свои инструменты, от них не поможет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #87

63. Сообщение от . (?), 16-Янв-22, 11:57   +/
Чувак - в твою сторону бежит (педобиржпг) некто Хэнлон. Недобро лыбится, машет опасной бритвой...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

64. Сообщение от Аноним (64), 16-Янв-22, 13:04   –1 +/
>Типовой сценарий атаки требует, чтобы у злоумышленника была возможность несколько раз получить накопитель в свои руки.

Если злоумышленник может это сделать, то он внесёт изменения в прошивку, которая ломанёт систему через уязвимости в драйверах, ведь модель угроз всех ОС подразумевает оборудование доверенным.

Ответить | Правка | Наверх | Cообщить модератору

65. Сообщение от Аноним (66), 16-Янв-22, 13:09   –1 +/
Надо было писать на Rust (C)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

66. Сообщение от Аноним (66), 16-Янв-22, 13:11   +1 +/
NadezhdaCrypt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

68. Сообщение от Аноним (68), 16-Янв-22, 13:13   +/
... и быть фанатом местоимений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от Аноним (66), 16-Янв-22, 13:32   +/
Тупенький пользователь контейнерами не пользуется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

70. Сообщение от Neandertalets (ok), 16-Янв-22, 13:53   +1 +/
Что же, раз оно (винда) такое безопасное, то без антивирусников и прочей чухни жить не может?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

72. Сообщение от Аноним (72), 16-Янв-22, 16:01   +/
Ваш дефендер только всякие активаторы способен ловить, а без доступа к интернету он вообще превращается в картошку, десу
https://twitter.com/mrd0x/status/1479094189048713219
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

73. Сообщение от ананим.orig (?), 16-Янв-22, 17:32   –2 +/
> обманеш?

s/обманеш/обманешь/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #105

74. Сообщение от Аноним (-), 16-Янв-22, 17:49   +/
богомерзкий гитлаб клоудфларью заблокировался . бггга
Ответить | Правка | Наверх | Cообщить модератору

75. Сообщение от Neandertalets (ok), 16-Янв-22, 19:30   +1 +/
> Кроме встроенного мсовского ничего нет лишнего. И спокойно у меня живет. Дальше что?

Вероятно форточки живут в виртуалке и после каждого раза работы сбрасываешь на сохранённый снапшот?
И винда, наверное, куплена на свои кровные?

Кстати, а что ты тут делаешь-то, на сайте по Unix/Linux?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

76. Сообщение от vasya (??), 16-Янв-22, 22:18   +/

> Так вот та колоночка для мс содержит 661 продукт. А для линуха 23 продукта. В линухе практически > всё ядреное, ну и мелочевка утил-линух. По ядру линуха 2729 цве.
> Если оставить только ОС - 5233 цвешек.
> По мне так вполне отличный результат с учетом: закрытости, на порядок большей >распространённости, одинакового ядра в разных версиях и как следствие дублирование подсчета

По ядру линуха 2729 цве
Если оставить только ОС - 5233 цвешек.

В ~2 раза больше.  ИМХО - нраица... не очень!!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #78

78. Сообщение от Аноним (54), 16-Янв-22, 23:07   +/
Вася, ты вот этот комментарий за номером 61 прочитал внимательно? Ну так что бы сравнивать целую ос с тучей сервисов и одно ядрышко. Немного мягко я стараюсь намекнуть что надо статистику правильно сделать из исходных данных. И сравнивать сравнимое.
А не:
- чего 37?
- а чего приборы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

79. Сообщение от Neandertalets (ok), 16-Янв-22, 23:36   +/
>> И винда, наверное, куплена на свои кровные?
> Вероятно не все нищие броды. Некоторым организация предоставляет средства работы.

   Рабочий инструмент - это рабочий инструмент. А личный? Или у мальчика нет семьи ещё?

>> Кстати, а что ты тут делаешь-то, на сайте по Unix/Linux?
> А кто мне запретить может? Несколько умных людей тут ещё бывают и пишут. Их интересно читать.
> А вот такие студенты меня веселят. Что тоже хорошо.

   Говорит человек, который пришёл сюда обосрать то, что ему не нравится. От великого ума, судя по всему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

80. Сообщение от Аноним (80), 17-Янв-22, 00:33   +3 +/
Если кому интересно, как появился его прародитель - TrueCrypt.

Криминальный босс Пол Ле Ру и истоки программы для шифрования данных TrueCrypt
https://wob.su/blog/paul-le-roux-truecrypt/

Интернет-гангстер № 1 и босс даркнета: Пол Ле Ру и его международная криминальная империя
https://knife.media/paul-le-roux-empire/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #89

82. Сообщение от Аноним (82), 17-Янв-22, 00:42   +1 +/
Лет за 5-10 обычно большинство самых эпичных дыр находят, после этого можно и в демьян.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

83. Сообщение от OpenEcho (?), 17-Янв-22, 02:31   +/
Wrong !

luksHeaderBackup - делает просто бэкап хэдера. Для того чтобы избежать описанной в сабже проблемы, да и вообще полезно там, где правда нужна секьюрность, нужно хэдер вообще полностью держать отдельно с помощью опции --header

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #86

84. Сообщение от Аноним (84), 17-Янв-22, 03:18   +/
https://xakep.ru/2017/02/23/bitlocker-hacking/#toc06.
> В случае Microsoft такой «специфики» хватает. Например, копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory. Зачем? Ну, вдруг ты их потеряешь... или агент Смит спросит. Клиента неудобно заставлять ждать, а уж агента — тем более.
> По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план, как и рекомендации увеличить длину ключа. Каким бы длинным он ни был, атакующий легко получит его в незашифрованном виде.
> Получение депонированных ключей из учетной записи Microsoft или AD — основной способ вскрытия BitLocker. Если же пользователь не регистрировал учетку в облаке Microsoft, а его компьютер не находится в домене, то все равно найдутся способы извлечь ключи шифрования. В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования»). Это значит, что они доступны в ее дампе и файле гибернации.
> Почему они вообще там хранятся? Как это ни смешно — для удобства. BitLocker разрабатывался для защиты только от офлайновых атак. Они всегда сопровождаются перезагрузкой и подключением диска в другой ОС, что приводит к очистке оперативной памяти. Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон. Поэтому, если в Windows с активированным BitLocker недавно выполнялся вход, есть хороший шанс получить копию ключа VMK в расшифрованном виде, а с его помощью расшифровать FVEK и затем сами данные по цепочке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

85. Сообщение от Аноним (84), 17-Янв-22, 03:26   +/
Тут у каждого третьего по десятку отделов таких "программистов" и пару тысяч историй где эти программисты были неправы и в очередной раз облажались, а про то как в очередной раз облажался мастдай они могли бы вечно рассказывать, если бы хоть чуть-чуть им интересовались, но !@!#$ тут только ты интересуешься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

86. Сообщение от qwe (??), 17-Янв-22, 03:54   +/
> luksHeaderBackup - делает просто бэкап хэдера. Для того чтобы избежать описанной в
> сабже проблемы, да и вообще полезно там, где правда нужна секьюрность,
> нужно хэдер вообще полностью держать отдельно с помощью опции --header

Автор комментария писал про потерю данных при физическом к ним доступе в контексте шифрования, причем не всеми программами, а "поделками". Что там может произойти именно на шифрованном разделе? Пользователь пролюбил ключ? Так то от программы не зависит. Остается только повреждение заголовка или его пролюбливание, если он отделен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #97, #88

87. Сообщение от edo (ok), 17-Янв-22, 06:15   +/
и какие же инструменты взлома aes есть у товарища майора?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #95, #79

88. Сообщение от Neandertalets (ok), 17-Янв-22, 08:42   +/
Ну ждём, когда повзрослеешь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

89. Сообщение от OpenEcho (?), 17-Янв-22, 12:32   +/
Спасибо !

Очень интересно, трукрипт всегда был не похожим на другие проекты, вроде как открытый, но как то зачехлён.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

90. Сообщение от Аноним (90), 17-Янв-22, 14:24   +/
Вы тут обсуждаете хорошо это или нет, а мне надо расшифровать свой старый диск на LUKS, от которого забыл пароль. Комп стоит в шкафу уже лет 7, ждет своего часа, типа вот этого.
Только, судя по новости, все равно надо вводить пароль, что бы активировать уязвимость.
Эххх.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91, #98

91. Сообщение от Аноним (91), 17-Янв-22, 16:50   +/
Кроме того, что ты забыл пароль, тебе бы еще помешало то что

> Атака применима только для формата LUKS2...

Формат LUKS2 был предложен в 2018 году, так что 7 лет назад ты оставил оставил сервак с LUKS1. Так что и с этим пролетаешь также.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

92. Сообщение от Алексей (??), 17-Янв-22, 20:12   +/
> если это были документы, которые по сути и не особо твои

... то с работы вылетишь за попытку скопировать документ(ы) на съёмный носитель.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

95. Сообщение от Аноним (-), 17-Янв-22, 20:59   +1 +/
Очень секретные. О которых он и сам не подозревает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

96. Сообщение от Аноним (-), 17-Янв-22, 21:14   +/
А в чем собственно проблема то?

cryptsetup <не затронут> (уязвимый код не присутствует; не поддерживает

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

97. Сообщение от OpenEcho (?), 18-Янв-22, 19:04   +/
> Остается только повреждение заголовка или его пролюбливание, если он отделен.

Я первый раз в жизни слышу этот термин "пролюбливание", что это такое?

Мой коментарий о том, что лучше вообще не держать заголовок вместе с шифрованным контейнером, так как мастер ключ там хранится просто в зашифрованном виде и может быть брут-форснут. Держа заголовок отдельно от контейнера, вы вообще(почтти) не оставляете шанса атакеру. luksHeaderBackup - же делает просто бэкап заголовка но не отделяет его от контейнера

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #99, #100

98. Сообщение от Аноним (98), 19-Янв-22, 00:58   +/
С зоны откинулся недавно?
А вообще да обидно бывает, и вроде товарищу майору ты не нужен и доступа к данным у тебя тоже нет.
Есть ли в реальности люди которые восстанавливали доступ в защиф.разделам, если не вспоминали пароль?
Брутфорс вообще реален?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

99. Сообщение от Анон985 (?), 19-Янв-22, 02:01   +2 +/
действительно в хэдере лежит мастер ключ, и ты можешь его брутфорснуть.

тебе понадобится миллион лет.

Анон почитай про то, что такое криптография.

Не нужно боятся оставлять хэдер. И не нужно считать, что спрятав хэдер криптография улучшится.
Скорее наоборот. Сложность увеличится, а безопасность - нет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

100. Сообщение от qwe (??), 19-Янв-22, 04:47   +/
>> Остается только повреждение заголовка или его пролюбливание, если он отделен.
> Я первый раз в жизни слышу этот термин "пролюбливание", что это такое?

"Пролюбить" - это цензурная версия военного термина "проеб*ть".

> Мой коментарий о том, что лучше вообще не держать заголовок вместе с
> шифрованным контейнером, так как мастер ключ там хранится просто в зашифрованном
> виде и может быть брут-форснут. Держа заголовок отдельно от контейнера, вы
> вообще(почтти) не оставляете шанса атакеру. luksHeaderBackup - же делает просто бэкап
> заголовка но не отделяет его от контейнера

Я прекрасно понял, о чем ваш комментарий и я знаю разницу между бэкапом и отделением заголовка. Естественно знаю про бутфорс. Кстати именно поэтому очень не рекомендуется использовать короткие пароли на таких разделах и использовать ключевой файл. Только в своем комментарии, на который вы мне ответили, я отвечал на другое, что и пытаюсь вам втолковать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #101

101. Сообщение от OpenEcho (?), 19-Янв-22, 14:26   +/
> "Пролюбить" - это цензурная версия военного термина "проеб*ть".

Спасибо, век живи век учись :) В мое армейское время таких нежностей не было, говорили все от солдат и до командиров на оригинально-матерном

> Только в своем комментарии, на который вы мне ответили, я отвечал на другое, что и пытаюсь вам втолковать.

Ну... пролюбился, с кем не бывает  :)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

102. Сообщение от ACCA (ok), 19-Янв-22, 18:25   +/
> оставить только ОС - 5233 цвешек.
> По мне так вполне отличный результат с учетом: закрытости, на порядок большей
> распространённости, одинакового ядра в разных версиях и как следствие дублирование подсчета.

Ни фига не отличный.


Debian - 5799 CVE

При этом:


$ apt list | wc -l
59304


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

104. Сообщение от Michael Shigorinemail (ok), 19-Янв-22, 22:30   +/
> дай угадаю, большинтво этих цве будет относиться к стороннему софту.
> накинь-ка тогда цве от офисов эксченжей и прочего от твоих любимых мелкомягких.
> для начала.

Ребята, вы зря пытаетесь вправить этому самарскому придурку то, чего у него нет и никогда, судя по его stdout, не было: мозги.

Если бы они были -- он бы прежде распечатывания варежки поинтересовался, скажем, историей появления кумулятивных сообщений о [дырках в] безопасности От Microsoft.

А так -- не тратьте время, просто "к модератору".

Помните клоуна-с**к*нчика и ещё несколько подобных персонажей?  Им ваше время и нужно -- угробить его ни на что.

А вы не ведитесь лишний раз.

Доброго здоровья :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

105. Сообщение от Аноним (19), 20-Янв-22, 18:23   +/
Учи мемы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #60, #76, #102


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру