bencede
New member
Geliştirici Matthew Garrett, LUKS kullanıcılarını blogunda kapsayıcılarını güncellemeye teşvik ediyor. İddiaya göre Fransız polisi, LUKS ile şifrelenmiş bir konteyneri açmayı başardı. Çok iyi bir parola (harfler, sayılar ve özel karakterler dahil 20’den fazla karakter) kullanıldığı söylendiği için Garrett, PBKDF2 anahtar türetme işlevinden şüphelenir ve değişiklik ister.
Bununla birlikte, temel koşullar bilinmemektedir, parolanın iddia edildiği kadar iyi olmaması veya polisin sırrı başka yollarla, örneğin bir keylogger yoluyla elde etmesi tamamen mümkündür.
PBKDF2’nin zayıf yönleri
Bununla birlikte, PBKDF2’nin, kullanılan parola çok iyi olmadığında özellikle ciddi olan bilinen zayıflıkları vardır: PBKDF2, “Parola Tabanlı Anahtar Türetme İşlevi 2”, diğer anahtar türetme işlevleri (KDF’ler) gibi, etkin parolayı türetmek için kullanılır. anahtar oluşturmak için kullanıcının şifresi. PBKDF2, yığınla parolanın denendiği kaba kuvvet ve sözlük saldırılarını daha zor hale getirmek için çok fazla hesaplama çabası gerektirir. Bunu yapmak için, birden çok iterasyonda bir hesaplama tekrarlanır.
Bir sorun, LUKS’nin şu anda kullanımda olan donanıma dayalı bir kapsayıcı oluştururken gereken yinelemeleri ölçmesidir, böylece şifre çözme çok uzun sürmez. Değer, sistem güncellendiğinde bile sonradan değişmez. Bu nedenle, eski kapsayıcıları kullanıyorsanız veya bunları oldukça zayıf bir donanım üzerine kuruyorsanız, LUKS şifrelemeleri kaba kuvvet saldırılarına karşı yalnızca sınırlı koruma sağlar.
Ayrıca, PBKDF2 çok az RAM gerektirir. Bu nedenle, grafik yongaları veya özel donanım (ASIC’ler) ile kaba kuvvet saldırıları, bu anahtar türetme işlevine karşı nispeten etkilidir.
argon2id KDF daha iyi koruma sağlar ve şu anda BSI tarafından önerilen KDF’dir (bkz. burada, Ek B.1.2.). Cryptsetup’ın mevcut sürümleri de argon2id’yi destekler ve yeni LUKS kapsayıcıları oluştururken bunu varsayılan olarak kullanmalıdır. Ancak, önceden PBKDF2 ile oluşturulmuş kapsayıcılar otomatik olarak taşınmaz.
Güncelleme mantıklı mı?
LUKS kapsayıcınızın hangi KDF’yi kullandığını öğrenmek istiyorsanız, aşağıdaki komutla öğrenebilirsiniz:
sudo cryptsetup luksDump /dev/DEVICE
Yerine DEVICE kapsayıcı ile sabit diski belirtmeniz gerekir. Bir dosyadaki LUKS başlığının yedeğini kontrol etmek istiyorsanız, uzantıyı kullanabilirsiniz. dev-Parametre tarafından belirtilen yol --header=PFAD/ZUR/DATEI örtüşmek. cryptsetup sürüm 2.6.1 ile yaptığımız deneylerde cihaz spesifikasyonunu tamamen atlamak mümkün değil ancak örneğin “X” yazmanız yeterli. cryptsetup belirtimi yok sayın ve im’i kullanın --header-Parametre tarafından belirtilen dosya.
Bireysel anahtar yuvaları için “PBKDF” üzerindeki çıktı önemlidir. İdeal olarak “argon2id” olmalıdır. “Digest” içindeki “pbkdf2” çıktısı sorun değil. Yükseltmek istiyorsanız, Garrett’ın blogunda gerekli adımları okuyabilirsiniz. Burada açıklandığı gibi, geçerli başlığın önceki bir yedeği zorunludur ve dikkate alınması gereken başka şeyler vardır: Hala LUKS1 biçimini kullanan kapsayıcılar önce LUKS2’ye geçirilmelidir ve araçları argon2id’li LUKS kapsayıcılarını destekleyen tüm dağıtımlar önyükleme bile yapamaz ondan. Ayrıca, bir Linux sisteminin kullanıcıları /boot şifrelenmişse, en azından bu bölümü güncellemekten kaçının – GRUB önyükleme yükleyicisi şu anda yalnızca PBKDF2 ile şifre çözüyor.
Parola veya parolanın seçimi ve kullanımı KDF’yi seçmekten daha önemlidir, ancak: gerçekten iyi bir parola, KDF’den bağımsız olarak kaba kuvvetle kırılamaz ve hiçbir KDF de gerçekten kötü bir parolayı kurtaramaz. Ayrıca, bu sır elbette iyi korunmalı, iki kez kullanılmamalı ve potansiyel olarak tehlikeye atılmış sistemlere yerleştirilmemelidir. Şu anda, 20’li yaşlarındakiler güvende gerçekten rastgele işaretleri kullanma, 6 Rastgele seçilmiş kelimeler veya daha fazlası.
(syt)
Haberin Sonu
Bununla birlikte, temel koşullar bilinmemektedir, parolanın iddia edildiği kadar iyi olmaması veya polisin sırrı başka yollarla, örneğin bir keylogger yoluyla elde etmesi tamamen mümkündür.
PBKDF2’nin zayıf yönleri
Bununla birlikte, PBKDF2’nin, kullanılan parola çok iyi olmadığında özellikle ciddi olan bilinen zayıflıkları vardır: PBKDF2, “Parola Tabanlı Anahtar Türetme İşlevi 2”, diğer anahtar türetme işlevleri (KDF’ler) gibi, etkin parolayı türetmek için kullanılır. anahtar oluşturmak için kullanıcının şifresi. PBKDF2, yığınla parolanın denendiği kaba kuvvet ve sözlük saldırılarını daha zor hale getirmek için çok fazla hesaplama çabası gerektirir. Bunu yapmak için, birden çok iterasyonda bir hesaplama tekrarlanır.
Bir sorun, LUKS’nin şu anda kullanımda olan donanıma dayalı bir kapsayıcı oluştururken gereken yinelemeleri ölçmesidir, böylece şifre çözme çok uzun sürmez. Değer, sistem güncellendiğinde bile sonradan değişmez. Bu nedenle, eski kapsayıcıları kullanıyorsanız veya bunları oldukça zayıf bir donanım üzerine kuruyorsanız, LUKS şifrelemeleri kaba kuvvet saldırılarına karşı yalnızca sınırlı koruma sağlar.
Ayrıca, PBKDF2 çok az RAM gerektirir. Bu nedenle, grafik yongaları veya özel donanım (ASIC’ler) ile kaba kuvvet saldırıları, bu anahtar türetme işlevine karşı nispeten etkilidir.
argon2id KDF daha iyi koruma sağlar ve şu anda BSI tarafından önerilen KDF’dir (bkz. burada, Ek B.1.2.). Cryptsetup’ın mevcut sürümleri de argon2id’yi destekler ve yeni LUKS kapsayıcıları oluştururken bunu varsayılan olarak kullanmalıdır. Ancak, önceden PBKDF2 ile oluşturulmuş kapsayıcılar otomatik olarak taşınmaz.
Güncelleme mantıklı mı?
LUKS kapsayıcınızın hangi KDF’yi kullandığını öğrenmek istiyorsanız, aşağıdaki komutla öğrenebilirsiniz:
sudo cryptsetup luksDump /dev/DEVICE
Yerine DEVICE kapsayıcı ile sabit diski belirtmeniz gerekir. Bir dosyadaki LUKS başlığının yedeğini kontrol etmek istiyorsanız, uzantıyı kullanabilirsiniz. dev-Parametre tarafından belirtilen yol --header=PFAD/ZUR/DATEI örtüşmek. cryptsetup sürüm 2.6.1 ile yaptığımız deneylerde cihaz spesifikasyonunu tamamen atlamak mümkün değil ancak örneğin “X” yazmanız yeterli. cryptsetup belirtimi yok sayın ve im’i kullanın --header-Parametre tarafından belirtilen dosya.
Bireysel anahtar yuvaları için “PBKDF” üzerindeki çıktı önemlidir. İdeal olarak “argon2id” olmalıdır. “Digest” içindeki “pbkdf2” çıktısı sorun değil. Yükseltmek istiyorsanız, Garrett’ın blogunda gerekli adımları okuyabilirsiniz. Burada açıklandığı gibi, geçerli başlığın önceki bir yedeği zorunludur ve dikkate alınması gereken başka şeyler vardır: Hala LUKS1 biçimini kullanan kapsayıcılar önce LUKS2’ye geçirilmelidir ve araçları argon2id’li LUKS kapsayıcılarını destekleyen tüm dağıtımlar önyükleme bile yapamaz ondan. Ayrıca, bir Linux sisteminin kullanıcıları /boot şifrelenmişse, en azından bu bölümü güncellemekten kaçının – GRUB önyükleme yükleyicisi şu anda yalnızca PBKDF2 ile şifre çözüyor.
Parola veya parolanın seçimi ve kullanımı KDF’yi seçmekten daha önemlidir, ancak: gerçekten iyi bir parola, KDF’den bağımsız olarak kaba kuvvetle kırılamaz ve hiçbir KDF de gerçekten kötü bir parolayı kurtaramaz. Ayrıca, bu sır elbette iyi korunmalı, iki kez kullanılmamalı ve potansiyel olarak tehlikeye atılmış sistemlere yerleştirilmemelidir. Şu anda, 20’li yaşlarındakiler güvende gerçekten rastgele işaretleri kullanma, 6 Rastgele seçilmiş kelimeler veya daha fazlası.
(syt)
Haberin Sonu