问题描述
我最近使用整个磁盘加密在新磁盘上安装了11.10。有人可以告诉我加密算法的安全性吗?最近是否有违反上述算法的行为?我使用36个字符的随机密码,所以我知道那不是一个薄弱的环节。如果硬盘驱动器被盗,我的客户的数据可能会受到威胁?
最佳方案
是的,它是安全的。 Ubuntu使用AES-256加密磁盘卷,并具有密码反馈以帮助保护它免受频率攻击和其他针对静态加密数据的攻击。
作为一种算法,AES是安全的,并且已通过crypt-analysis测试证明。弱点实际上存在于密码和用于向其传递密钥的软件中。具体而言,位于密钥库(存储在卷的标头中)中,密钥库由密码保护。密码短语当然可以接受某些攻击,例如字典/强力攻击(如果成功的话,它将解密密钥库)。使用长”complex”非单词密码会减少这种情况的发生。
解密的唯一其他可能性是使用记录设备或社会工程学来确定您的密码。
简而言之,除非受到严重的有组织网络犯罪或政府调查,否则您的计算机是相当安全的!
次佳方案
以下是关于这种文件系统攻击的两种有趣的资源:http://dx.eng.uiowa.edu/dave/luks.php http://www.jakoblell.com/blog/2013/12/22/practical-malleability-attack-against-cbc-encrypted-luks-partitions/
简而言之,后一个文档描述了可以将远程代码执行后门注入由Ubuntu 12.04安装程序创建的LUKS设置中。此攻击仅需要访问加密的硬盘驱动器(它不依赖于处理未加密的/boot
分区或BIOS)。
虽然攻击非常糟糕,但不适用于现代LUCS设置。仅当阻止模式为CBC
时(例如,如果使用密码aes-cbc-essiv
时),才可以发起攻击。现代设置使用其他块模式,例如密码aes-xts-plain64
(请参阅this article on the ArchLinux wiki)。
要检查设置使用的密码,请运行:
sudo cryptsetup status [device]
其中[device]
是您的映射,例如/dev/mapper/sda3_crypt
。