Ubuntu 的全盘加密功能是否存在已知漏洞?
我有一些存储设备(U盘和一些用于备份的外部硬盘),我使用全盘加密,这样如果它们丢失或被盗,我的数据就无法找回。这是一种虚假的安全感吗?
如果有人获得了加密驱动器,他们是否有可能破解加密?如果可以,需要多长时间?
编辑:澄清一下,我只问不可启动的驱动器。我知道仍然用于启动操作系统的加密驱动器存在漏洞。
答案1
目前,Ubuntu 11.10 中尚无已知的加密漏洞。但确实存在一些漏洞。通常,ecryptfs 漏洞涉及已登录系统的攻击者,该攻击者可能导致拒绝服务。存在一个 LUKS 问题,用户惊讶地发现分区工具中的一个简单配置选项可以完全永久地破坏分区。
大约 5 * 10^9 年后,我们预计这颗行星将被不断膨胀的太阳吞没。AES-256 加密很可能能够抵御这么长时间的攻击。但是,正如您似乎知道的那样,还有许多其他潜在的弱点,值得一提。
您是否知道您已有效加密磁盘?这很复杂。有思想的人对哪些安装选项足够有效存在分歧。您是否知道您应该使用 LUKS 而不是 ecryptfs 从 Ubuntu 的备用安装 CD 安装全盘加密?您是否知道 LUKS 已将密码以纯文本形式存储在 RAM 中,或者一旦任何用户通过 ecryptfs 解锁文件,ecryptfs 就不会保护它免受任何其他用户的攻击?您的磁盘是否曾连接到允许连接未加密存储的系统,而不是设置明确的 SELinux 策略来禁止这样做?您将加密磁盘的备份保存在哪里?您进行备份是因为您知道加密磁盘对正常错误更加敏感,对吗?
您确定您的密码不在可能被猜出的数十亿(更像是数万亿,或者现在的任何数字)可能性之列吗?试图解密您磁盘的人真的是一个随机的、缺乏动力和资金、资源匮乏的陌生人吗?您确定您的密码不可能通过软件篡改(“邪恶女仆”攻击)、观察正在运行的系统(“肩窥”、“黑包”或“冷启动”攻击)等方式获得吗?您如何避免每个人都会遇到的攻击:电子邮件和下载病毒、恶意 JavaScript、网络钓鱼?
您对保守密码的决心有多大?您将受到哪些司法管辖?您会甘愿坐牢吗?是否有其他人知道受磁盘加密保护的秘密?您是否愿意为自己的秘密付出代价,即使这些人泄露了这些秘密?