LUKS1 mit PBKDF2 ernsthaft unsicher?

Discussion:

(zu alt für eine Antwort)

Marco Moock

2023-04-20 08:57:24 UTC

Hallo zusammen!

Ich habe https://mjg59.dreamwidth.org/66429.html gelesen.

Anscheinend nutzt Debian Sid auch noch LUKS1 mit PBKDF2 als Standard
bei der Installation.

Das soll aber mit GPUs recht leicht zu knacken sein. Weiß wer mehr über
den Aufwand?

Man kann das Verfahren umstellen, scheinbar ist das aber noch lange
nicht Standard bei den GNU/Linux-Distributionen.

Die Frage ist, ob man als ONU, der seine Daten vor Einbrechern, Dieben,
neugierigen Kollegen und Gelegenheitsfindern von HDDs schützen will,
aktiv werden sollte.

--
Gruß
Marco Moock

Marc Haber

2023-04-23 18:44:03 UTC

Permalink

Post by Marco Moock
Die Frage ist, ob man als ONU, der seine Daten vor Einbrechern, Dieben,
neugierigen Kollegen und Gelegenheitsfindern von HDDs schützen will,
aktiv werden sollte.

Die Umstellung erscheint mir jetzt nicht wie Raketenwissenschaft.
Warum zögerst Du?

Grüße
Marc

Marco Moock

2023-04-23 19:00:09 UTC

Permalink

Post by Marc Haber
Die Umstellung erscheint mir jetzt nicht wie Raketenwissenschaft.
Warum zögerst Du?

Weil mich interessiert, ob das ein ernstes Problem ist und ich das
daher auf ALLEN Datenträgern machen muss oder ob das nur ein kleines
Problem ist, was unter bestimmten Umständen ein Problem ist.

Ich plane die Umstellung, aber habe es bisher noch nicht getan (aus
Angst, es geht was fritte).

Gerrit Heitsch

2023-04-23 19:20:15 UTC

Permalink

Post by Marco Moock

Post by Marc Haber
Die Umstellung erscheint mir jetzt nicht wie Raketenwissenschaft.
Warum zögerst Du?

Weil mich interessiert, ob das ein ernstes Problem ist und ich das
daher auf ALLEN Datenträgern machen muss oder ob das nur ein kleines
Problem ist, was unter bestimmten Umständen ein Problem ist.

Die Kommentare unter dem Artikel implizieren, daß es da ein
Opsec-Problem gegeben haben muss wenn seine Passphrase wirklich über 20
Zeichen lang war.

Vielleicht hat sich jemand den Laptop 'kurz' ausgeliehen und ihm eine
neue initrd untergeschoben die die eingegebene Passphrase nicht nur brav
zum Unlocking benutzt sondern auch an unverschlüsselter Stelle abspeichert.

Gerrit

Marco Moock

2023-04-23 19:32:34 UTC

Permalink

Post by Gerrit Heitsch
Vielleicht hat sich jemand den Laptop 'kurz' ausgeliehen und ihm eine
neue initrd untergeschoben die die eingegebene Passphrase nicht nur
brav zum Unlocking benutzt sondern auch an unverschlüsselter Stelle
abspeichert.

Dagegen wäre ja das neue Verfahren auch nicht sicher - ebenso nicht
gegen Angriffe auf die meist unverschlüsselte boot-partition (/boot)
oder den Bootloader GRUB2.

Gerrit Heitsch

2023-04-23 19:43:26 UTC

Permalink

Post by Marco Moock

Dagegen wäre ja das neue Verfahren auch nicht sicher - ebenso nicht
gegen Angriffe auf die meist unverschlüsselte boot-partition (/boot)
oder den Bootloader GRUB2.

Ja, dagegen hilft nur die Integrität der initrd (und anderer
interessanter Dateien) und des Bootloaders bei jedem Boot zu prüfen. Via
script/programm welches im verschlüsselten Teil liegt und wenn der Test
fehlschlägt diskret Alarm zu schlagen. Muss du dann natürlich nach jedem
Systemupdate welches eine neue initrd erzeugt neu kalibrieren.

Gerrit

Marco Moock

2023-05-06 05:20:33 UTC

Permalink

Post by Marco Moock
Das soll aber mit GPUs recht leicht zu knacken sein. Weiß wer mehr
über den Aufwand?

Hier gibt es einen deutschen Artikel zum Thema, der ebenfalls zweifel
daran hat, dass ausschließlich der Algorithmus ausschlaggebend war.

https://www.systemli.org/2023/04/30/ist-die-linux-festplattenshyverschl%C3%BCsselung-geknackt/