The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в cryptsetup, позволяющая отключить шифрование в LUKS2-разделах

15.01.2022 22:26

В пакете Cryptsetup, применяемом для шифрования дисковых разделов в Linux, выявлена уязвимость (CVE-2021-4122), позволяющая через модификацию метаданных добиться отключения шифрования в разделах в формате LUKS2 (Linux Unified Key Setup). Для эксплуатации уязвимости атакующий должен иметь физический доступ к зашифрованному носителю, т.е. метод имеет смысл в основном для атаки на зашифрованные внешние накопители, такие как Flash-диски, к которым злоумышленник имеет доступ, но не знает пароля для расшифровки данных.

Атака применима только для формата LUKS2 и связана с манипуляцией метаданными, отвечающими за активацию расширения "online reencryption", позволяющего при необходимости смены ключа доступа инициировать процесс перешифрования данных на лету без остановки работы с разделом. Так как процесс расшифровки и шифровки с новым ключом занимает много времени, "online reencryption" даёт возможность не прерывать работу с разделом и выполнять перешифрование в фоне, постепенно переводя данные с одного ключа на другой. В том числе имеется возможность выбора пустого целевого ключа, что позволяет перевести раздел в расшифрованный вид.

Атакующий может внести в метаданные LUKS2 изменения, симулирующие аварийное прерывание выполнения операции расшифровки в результате сбоя и добиться расшифровки части раздела после последующей активации и использования модифицированного накопителя владельцем. При этом пользователь, подключивший модифицированный накопитель и разблокировавший его корректным паролем, не получает какого-либо предупреждения о выполнении процесса восстановления прерванной операции перешифрования и может узнать о ходе данной операции только при помощи команды "luks Dump". Объём данных, расшифровки которых может добиться атакующий, зависит от размера заголовка LUKS2, но при размере по умолчанию (16 MiB) может превышать 3 ГБ.

Проблема вызвана тем, что несмотря на то, что операция перешифрования требует расчёта и проверки хэшей нового и старого ключей, для восстановления прерванного процесса расшифровки хэш не требуется, если новое состояние подразумевает отсутствие ключа для шифрования (plaintext). Кроме того, метаданные LUKS2, в которых задаётся алгоритм шифрования, не защищены от модификации в случае попадания в руки злоумышленника. Для блокирования уязвимости разработчики добавили в LUKS2 дополнительную защиту метаданных, для которых теперь проверяется дополнительный хэш, вычисляемый на основе известных ключей и содержимого метаданных, т.е. атакующий больше не сможет незаметно изменить метаданные, не зная пароля для расшифровки.

Типовой сценарий атаки требует, чтобы у злоумышленника была возможность несколько раз получить накопитель в свои руки. Вначале атакующий, который не знает пароля доступа, вносит в область метаданных изменения, инициирующие расшифровку части данных при следующей активации накопителя. Затем накопитель возвращается на место и атакующий ждёт, пока пользователь не подключит его, введя пароль. Во время активации устройства пользователем запускается фоновый процесс перешифрования, в ходе которого часть зашифрованных данных заменяется на расшифрованные данные. Далее, если атакующий сможет получить в свои руки устройство ещё раз, часть данных на накопителе будет находиться в расшифрованном виде.

Проблема выявлена мэйнтейнером проекта cryptsetup и устранена в обновлениях cryptsetup 2.4.3 и 2.3.7. Состояние формирования обновлений с устранением проблемы в дистрибутивах можно отследить на данных страницах: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Уязвимость проявляется только начиная с выпуска cryptsetup 2.2.0, в котором появилась поддержка операции "online reencryption". В качестве обходного пути защиты может использоваться запуск с опцией "--disable-luks2-reencryption".

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск Cryptsetup 2.3 с поддержкой шифрованных разделов BitLocker
  3. OpenNews: В MD/RAID6 в Linux выявлена проблема, которая может привести к потере данных
  4. OpenNews: Проблема с повреждением разделов Ext4 оказалась в md-raid0
  5. OpenNews: Уязвимость в Cryptsetup, позволяющая получить доступ к root shell
  6. OpenNews: Выпуск Cryptsetup 2.0
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56513-luks2
Ключевые слова: luks2, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (90) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, А где же каменты (?), 22:41, 15/01/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –4 +/
     
  • 1.2, Аноним (2), 22:51, 15/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –24 +/
    Вот поэтому я пользуюсь нормальными решениями типа bitlocker
     
     
  • 2.3, Аноним (3), 22:56, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Только битлогер по-моему даже по силе шифрования не отвечает анбшным стандартам для секретных данных (только самому минимальному для лайтового шифрования). Т.е. недостаточно секретен и у злоумышленников могут быть средства для дешифровки.
     
     
  • 3.4, Аноним (3), 22:58, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зато вот если ты потеряешь доступ к своим данным, то с ними можно попрощаться. Впрочем, для типового использования "хранить фоточки любимой кошки на лаптопе" его вполне достаточно и тут разрабы трукрипта вполне правы.
     
     
  • 4.26, Аноним (26), 00:18, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Откуда вы такие берётесь... Как ты потеряешь свои данные? Флэшку выронишь? Вот кто-нибудь другой её и перебрутфорсит на ноуте за пару дней, потом будешь радоваться, что все твои данные в целостности и сохранности на форче залили. Возможно даже место работы сменишь, если это были документы, которые по сути и не особо твои
     
     
  • 5.30, Аноним (3), 00:32, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мало ли вариантов потерять доступ к данным при сохранении физического доступа? Ключ слетит и привет, поделки этим славятся.
     
     
  • 6.39, qwe (??), 02:10, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    cryptsetup luksHeaderBackup ... - это первое что строго рекомендуют сделать сразу после создания зашифрованного раздела.
     
     
  • 7.83, OpenEcho (?), 02:31, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Wrong !

    luksHeaderBackup - делает просто бэкап хэдера. Для того чтобы избежать описанной в сабже проблемы, да и вообще полезно там, где правда нужна секьюрность, нужно хэдер вообще полностью держать отдельно с помощью опции --header

     
     
  • 8.86, qwe (??), 03:54, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Автор комментария писал про потерю данных при физическом к ним доступе в контекс... текст свёрнут, показать
     
     
  • 9.97, OpenEcho (?), 19:04, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я первый раз в жизни слышу этот термин пролюбливание , что это такое Мой комен... текст свёрнут, показать
     
     
  • 10.99, Анон985 (?), 02:01, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    действительно в хэдере лежит мастер ключ, и ты можешь его брутфорснуть тебе пон... текст свёрнут, показать
     
  • 10.100, qwe (??), 04:47, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пролюбить - это цензурная версия военного термина проеб ть Я прекрасно поня... большой текст свёрнут, показать
     
     
  • 11.101, OpenEcho (?), 14:26, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, век живи век учись В мое армейское время таких нежностей не было, го... текст свёрнут, показать
     
  • 6.59, Аноним (26), 11:03, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Жду примеров того, как слетали ключи с разделов. И почему вы так уверенны, что битлокер - не такая же поделка (которую кстати используют полтора инвалида, даже майки не предлагают эту штуку хотя бы при установке включить), только с другой политикой? Что такого они хотят спрятать в коде? Украденный GPL код?
     
  • 5.92, Алексей (??), 20:12, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > если это были документы, которые по сути и не особо твои

    ... то с работы вылетишь за попытку скопировать документ(ы) на съёмный носитель.

     
  • 3.6, . (?), 23:11, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Угу, у мистических злоумышленников в сферическом вакууме - конечно могут быть. (паяльник, к примеру).

    Но я вполне уверен что ты, васян с воппеннета - ничегошеньки там не расшифруешь, и мне этого достаточно чтоб не прятать шифрованную флэшку в сейф, отходя за кофе, а просто ее выдернуть. А вот с шитсетап или как там оно у л@п4..х называется - увы и ах, но справится любой дятел вроде тебя.

     
     
  • 4.8, Аноним (3), 23:21, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Продолжай и дальше верить в секурность проприетарных поделок. Васян с впопенета вполне может иметь доступ к необходимым технологиям, другое дело, что зависит от того, насколько ценные и интересные эти твои данные. Если там миллион биткоинов,  почаще об этом сообщай всем, вот и проверишь, насколько безопасно зашифровано было.
     
     
  • 5.54, Аноним (54), 10:34, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно сейчас мы увидим ссылочки на новости по взломам битлокера и какие они плохие проприетарные подделки? Нет, я так не думаю.
     
     
  • 6.84, Аноним (84), 03:18, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https xakep ru 2017 02 23 bitlocker-hacking toc06 ... большой текст свёрнут, показать
     
  • 3.34, Михаил (??), 00:44, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    По умолчанию AES-128, через групповые политики можно переключить на AES-256.
     
     
  • 4.58, Онаним (?), 11:00, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не обязательно даже через GP, можно просто консольной утилитой инициировать шифрование с нужными параметрами.
     
     
  • 5.62, . (?), 11:54, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но зачем? Я сомневаюсь в умении типичного васяна с впопеннета взломать банальный xor (хотя бы сообразить что это именно xor и как ломать).

    А у товарищмайора свои инструменты, от них не поможет.

     
     
  • 6.87, edo (ok), 06:15, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    и какие же инструменты взлома aes есть у товарища майора?
     
     
  • 7.95, Аноним (-), 20:59, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень секретные. О которых он и сам не подозревает
     
  • 2.19, Аноним (19), 23:47, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На нос не дави так сильно
     
  • 2.32, Михаил (??), 00:43, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Нормальными — это Veracrypt.
     
     
  • 3.66, Аноним (66), 13:11, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    NadezhdaCrypt
     
  • 3.80, Аноним (80), 00:33, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если кому интересно, как появился его прародитель - TrueCrypt.

    Криминальный босс Пол Ле Ру и истоки программы для шифрования данных TrueCrypt
    https://wob.su/blog/paul-le-roux-truecrypt/

    Интернет-гангстер № 1 и босс даркнета: Пол Ле Ру и его международная криминальная империя
    https://knife.media/paul-le-roux-empire/

     
     
  • 4.89, OpenEcho (?), 12:32, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо !

    Очень интересно, трукрипт всегда был не похожим на другие проекты, вроде как открытый, но как то зачехлён.

     

  • 1.5, Аноним (5), 23:09, 15/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Debian со своим подходом:

    [buster] - cryptsetup <not-affected> (Vulnerable code not present; does not support online LUKS2 reencryption)
    [stretch] - cryptsetup <not-affected> (Vulnerable code not present; does not support LUKS2)

    LMAO.

    // b.

     
     
  • 2.10, Rev (?), 23:27, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но ведь уже давно есть [bullseye], в нём всё так же, что ли?
     
     
  • 3.37, Аноним (37), 01:25, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ого, уже есть свежачок, подожду еще год два и обновлюсь.
     
  • 2.20, rm1 (?), 23:48, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Works as intended, нефиг сразу пихать слишком новый непроверенный софт с дырами в stable.
     
     
  • 3.47, john_erohin (?), 09:07, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    прошу уточнить. "слишком новый" - это сколько (в месяцах и годах) ?
    также приму ответ в виде интервала или наобора интервалов, в зависимости от свойств софта.
     
     
  • 4.82, Аноним (82), 00:42, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лет за 5-10 обычно большинство самых эпичных дыр находят, после этого можно и в демьян.
     
  • 3.96, Аноним (-), 21:14, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем собственно проблема то?

    cryptsetup <не затронут> (уязвимый код не присутствует; не поддерживает

     

  • 1.7, Аноним (7), 23:20, 15/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> для начала расшифровки хэш не требуется, если новое состояние подразумевает отсутствие ключа для шифрования (plaintext).

    Моя не понимайт... Так “для начала расшифровки”, или “указания необходимости запуска расшифровки при следующем подключении”? Вещи же совершенно разные...

     
     
  • 2.27, Аноним (26), 00:24, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    По идее чтобы начать зашифровку в новый ключ, нужно знать новый ключ. Знание хэша не поможет. Но если LUKSу дана задача тупо расшифровать данные (нулевой ключ), то и хэш не нужен, и видимо виновник сабжа решил, что оставлять по сути команду для люкса о расшифровке накопителя в незашифрованном виде на этом самом накопителе, учитывая векторы атаки — хорошая идея.
     

  • 1.9, Аноним (9), 23:26, 15/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В кальке в дефолтном sys-fs/cryptsetup собран и поставляется пакет без поддержки reencrypt (use не включен соответствующий)

    2.3.6-r2(0/12)(21:40:09 04.01.2022)(argon2 nls openssl udev -gcrypt -kernel -nettle -pwquality -reencrypt -static -static-libs -urandom)

     
     
  • 2.11, Аноним (3), 23:31, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Хоть что-то там собрано с адекватными юзами.
     
     
  • 3.17, Аноним (9), 23:39, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    подскажи неадекватные юзы у них, пользуюсь калькой, мне актуально

     
     
  • 4.21, Аноним (3), 23:48, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давно дропнул, раньше постоянно пересобирать половину пакетов приходилось из-за какой-то дичи.
     
  • 3.70, Neandertalets (ok), 13:53, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что же, раз оно (винда) такое безопасное, то без антивирусников и прочей чухни жить не может?
     
     
     
    Часть нити удалена модератором

  • 5.75, Neandertalets (ok), 19:30, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кроме встроенного мсовского ничего нет лишнего. И спокойно у меня живет. Дальше что?

    Вероятно форточки живут в виртуалке и после каждого раза работы сбрасываешь на сохранённый снапшот?
    И винда, наверное, куплена на свои кровные?

    Кстати, а что ты тут делаешь-то, на сайте по Unix/Linux?

     
     
     
    Часть нити удалена модератором

  • 7.79, Neandertalets (ok), 23:36, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> И винда, наверное, куплена на свои кровные?
    > Вероятно не все нищие броды. Некоторым организация предоставляет средства работы.

       Рабочий инструмент - это рабочий инструмент. А личный? Или у мальчика нет семьи ещё?

    >> Кстати, а что ты тут делаешь-то, на сайте по Unix/Linux?
    > А кто мне запретить может? Несколько умных людей тут ещё бывают и пишут. Их интересно читать.
    > А вот такие студенты меня веселят. Что тоже хорошо.

       Говорит человек, который пришёл сюда обосрать то, что ему не нравится. От великого ума, судя по всему.

     
     
     
    Часть нити удалена модератором

  • 9.88, Neandertalets (ok), 08:42, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ждём, когда повзрослеешь ... текст свёрнут, показать
     
  • 3.72, Аноним (72), 16:01, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ваш дефендер только всякие активаторы способен ловить, а без доступа к интернету он вообще превращается в картошку, десу
    https://twitter.com/mrd0x/status/1479094189048713219
     
  • 3.18, Аноним (9), 23:40, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    человек-аноним
    выше толпа таких же анонимов комментирует, что ты там написал, чтобы тебя минусовать?
     
  • 3.22, Аноним (19), 23:48, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тебя не обманеш?
     
     
  • 4.73, ананим.orig (?), 17:32, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > обманеш?

    s/обманеш/обманешь/

     
     
  • 5.105, Аноним (19), 18:23, 20/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Учи мемы
     
  • 3.25, Аноним (25), 00:16, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если ты программист, то я - Фотошоп?
     
  • 3.31, Михрютка (ok), 00:40, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>Минуссируйте меня минуссируйте меня полносстью токссичное ссообщество токссичное

    //сспелчек фиксс

     
  • 3.85, Аноним (84), 03:26, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тут у каждого третьего по десятку отделов таких "программистов" и пару тысяч историй где эти программисты были неправы и в очередной раз облажались, а про то как в очередной раз облажался мастдай они могли бы вечно рассказывать, если бы хоть чуть-чуть им интересовались, но !@!#$ тут только ты интересуешься.
     
  • 2.38, Аноним (38), 01:39, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я не верю что ты правда так думаешь.
     
  • 2.44, Аноним (44), 08:38, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чел, ты... https://www.cvedetails.com/top-50-vendors.php

    Microsoft - 8701 CVEs
    Linux - 2758 CVEs

    Linux такой "несекурный" что его даже "тупые" американцы на бортовых компах МКС крутят

     
     
  • 3.51, Тот самый (?), 10:20, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Чел, ты... https://www.cvedetails.com/top-50-vendors.php
    >Microsoft - 8701 CVEs
    >Linux - 2758 CVEs

    Debian - 5799 CVE
    Redhat - 3999 CVE
    Canonical - 3129 CVE
    Fedoraproject - 2713 CVE
    Opensuse - 2492 CVE

    Чел, ты похоже не в курсе, что в отличие от Windows, которую пилит только одна компания (Microsoft), Linux выпускают много вендоров

     
     
  • 4.53, Ananimasss (?), 10:32, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дай угадаю, большинтво этих цве будет относиться к стороннему софту.
    накинь-ка тогда цве от офисов эксченжей и прочего от твоих любимых мелкомягких. для начала.
     
     
     
    Часть нити удалена модератором

  • 6.60, Аноним (26), 11:09, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > отличный результат с учетом: закрытости, на порядок большей распространённости,

    чё то вспомнился недавний прикол с датами в почтовом сервере от майков, где вместо эпох-тайма использовалась какая-то битмапная кодировка циферек из календаря. Очень секюрно, очень нравица.

     
  • 6.76, vasya (??), 22:18, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/

    > Так вот та колоночка для мс содержит 661 продукт. А для линуха 23 продукта. В линухе практически > всё ядреное, ну и мелочевка утил-линух. По ядру линуха 2729 цве.
    > Если оставить только ОС - 5233 цвешек.
    > По мне так вполне отличный результат с учетом: закрытости, на порядок большей >распространённости, одинакового ядра в разных версиях и как следствие дублирование подсчета

    По ядру линуха 2729 цве
    Если оставить только ОС - 5233 цвешек.

    В ~2 раза больше.  ИМХО - нраица... не очень!!

     
     
  • 7.78, Аноним (54), 23:07, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вася, ты вот этот комментарий за номером 61 прочитал внимательно? Ну так что бы сравнивать целую ос с тучей сервисов и одно ядрышко. Немного мягко я стараюсь намекнуть что надо статистику правильно сделать из исходных данных. И сравнивать сравнимое.
    А не:
    - чего 37?
    - а чего приборы?
     
  • 6.102, ACCA (ok), 18:25, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > оставить только ОС - 5233 цвешек.
    > По мне так вполне отличный результат с учетом: закрытости, на порядок большей
    > распространённости, одинакового ядра в разных версиях и как следствие дублирование подсчета.

    Ни фига не отличный.



    Debian - 5799 CVE


    При этом:



    $ apt list | wc -l
    59304



     
  • 5.104, Michael Shigorin (ok), 22:30, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > дай угадаю, большинтво этих цве будет относиться к стороннему софту.
    > накинь-ка тогда цве от офисов эксченжей и прочего от твоих любимых мелкомягких.
    > для начала.

    Ребята, вы зря пытаетесь вправить этому самарскому придурку то, чего у него нет и никогда, судя по его stdout, не было: мозги.

    Если бы они были -- он бы прежде распечатывания варежки поинтересовался, скажем, историей появления кумулятивных сообщений о [дырках в] безопасности От Microsoft.

    А так -- не тратьте время, просто "к модератору".

    Помните клоуна-с**к*нчика и ещё несколько подобных персонажей?  Им ваше время и нужно -- угробить его ни на что.

    А вы не ведитесь лишний раз.

    Доброго здоровья :)

     

  • 1.14, Аноним (14), 23:36, 15/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    zfs умеет шифрование, причем выборочное (целиком пул шифровать не обязательно).
     
     
  • 2.15, Аноним (9), 23:38, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это и ext4 умеет
     
  • 2.23, Аноним (19), 23:50, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Насколько выборочное что шифровать метадату она умеет только костылями (как впрочем и все другие фс с поддержкой шифрования). Full-disk encryption все таки не про то
     

  • 1.24, Аноним (24), 00:15, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    не зря я на luks1 сижу, и хэдер проще бекапить, т.к. пару мбайт занимает
     
  • 1.29, Аноним (26), 00:31, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Объясните мне дураку, кому может понадобится фича автоматической расшифровки накопителя с любого компа, куда бы носитель не воткнули и не открыли ключом? Такие вещи можно обычным скриптом и явной командой сделать, зачем переусложнять формат и пихать метаданные?
     
     
  • 2.33, Аноним (19), 00:43, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы у тебя контейнер не поломался если ты во время фоновой перешифровки ребутнешься или крашнешься
     
  • 2.46, тов. майор (?), 08:55, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мне, мне очень нужна!

    > Такие вещи можно обычным скриптом и явной командой сделать, зачем переусложнять формат и пихать
    > метаданные?

    так т-пенький пользователь может перенапрячь свой межушный ганглий. Надо все делать тихо и незаметно для него. А то вдруг у него "контейнер упадет".

     
     
  • 3.69, Аноним (66), 13:32, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тупенький пользователь контейнерами не пользуется.
     

  • 1.35, asdsad (?), 00:53, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Стоять, уязвимость в cryptsetup, т.е. ничего не изменится? Зачем злоумышленнику использовать "правильный" вариант утилиты?
     
     
  • 2.40, x3who (?), 03:18, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там доброумышленник вставляет диск со своими педофильскими фоточками в  комп, как обычно вводит пароль и диск начинает незаметно для него расшифровываться потому что товарищ майор подкрутил метаданные.
     

  • 1.36, Аноним (36), 01:21, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Обидно немного. Неужели в таком деле нельзя было один раз подумать нормально и всё предусмотреть? Это же не за указателями в сишечке неустанно следить, а просто один раз продумать и написать стандарт.
     
     
  • 2.41, x3who (?), 03:20, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Лучше сразу писать третью версию стандарта, третьи версии всегда самые лучшие.
     
  • 2.45, . (?), 08:53, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Чувак, это ж linoops, тут думать - вообще некому и нечем.

    Традиция 1995го, что-ли, года. (когда оказалось что encrypted loop device так оригинально использует des, что получается xor)

     
     
  • 3.49, Аноним (49), 09:51, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.opennet.ru/openforum/vsluhforumID3/126439.html#44
    А некоторые вообще думают в другую сторону.
     
  • 3.52, Vasyan2 (ok), 10:23, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как правила нарушать так только из-под анонима?
     
  • 2.57, Онаним (?), 10:58, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так всё и было нормально предусмотрено, просто кто-то надеялся, что это обнаружено не будет.
     
     
  • 3.63, . (?), 11:57, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак - в твою сторону бежит (педобиржпг) некто Хэнлон. Недобро лыбится, машет опасной бритвой...

     

  • 1.48, Аноним (48), 09:35, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    тяжелое наследие truecrypt, надежней не бывает говорили они... есть же fscrypt...
     
  • 1.50, Аноним (-), 09:57, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > добавили в LUKS2 дополнительную защиту метаданных ... т.е. атакующий теперь не может незаметно изменить метаданные, не зная пароля для расшифровки

    В смысле не может? В коде только "luks2_reencrypt_digest", который создаёт подпись только для/в случае reencryption, а остальные метаданные "так и остались". Из новости это звучит как "глобальный хэш для всех метаданных", а всё из-за того, что автор поленился добавить куски кода.

     
  • 1.56, Онаним (?), 10:57, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ух ты, какой жЫрный бэкдор выпилили.
     
  • 1.64, Аноним (64), 13:04, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Типовой сценарий атаки требует, чтобы у злоумышленника была возможность несколько раз получить накопитель в свои руки.

    Если злоумышленник может это сделать, то он внесёт изменения в прошивку, которая ломанёт систему через уязвимости в драйверах, ведь модель угроз всех ОС подразумевает оборудование доверенным.

     
  • 1.65, Аноним (66), 13:09, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Надо было писать на Rust (C)
     
     
  • 2.68, Аноним (68), 13:13, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ... и быть фанатом местоимений.
     

  • 1.74, Аноним (-), 17:49, 16/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    богомерзкий гитлаб клоудфларью заблокировался . бггга
     
  • 1.90, Аноним (90), 14:24, 17/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вы тут обсуждаете хорошо это или нет, а мне надо расшифровать свой старый диск на LUKS, от которого забыл пароль. Комп стоит в шкафу уже лет 7, ждет своего часа, типа вот этого.
    Только, судя по новости, все равно надо вводить пароль, что бы активировать уязвимость.
    Эххх.
     
     
  • 2.91, Аноним (91), 16:50, 17/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме того, что ты забыл пароль, тебе бы еще помешало то что

    > Атака применима только для формата LUKS2...

    Формат LUKS2 был предложен в 2018 году, так что 7 лет назад ты оставил оставил сервак с LUKS1. Так что и с этим пролетаешь также.

     
  • 2.98, Аноним (98), 00:58, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С зоны откинулся недавно?
    А вообще да обидно бывает, и вроде товарищу майору ты не нужен и доступа к данным у тебя тоже нет.
    Есть ли в реальности люди которые восстанавливали доступ в защиф.разделам, если не вспоминали пароль?
    Брутфорс вообще реален?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру