如何保护 LUKS 免受 Ram Dumps 的影响?

如何保护 LUKS 免受 Ram Dumps 的影响?

我想保护我的数据不被任何人访问,包括美国国家安全局。

我在 Kubuntu 安装时使用了全盘加密,而且我从来没有半途而废过。

我查找了如何破解 LUKS,花了一些时间,但最终我找到了这篇文章,介绍了任何拥有实时 USB 的人都可以破解 LUKS 加密的方法。

https://0x00sec.org/t/breaking-encryption-hashed-passwords-luks-devices/811

我该如何保护我的磁盘免受此类攻击?除非量子计算机破解 RSA 4096。

答案1

你不能,因为 LUKS 不行。这种攻击的可能性是一种特性,而不是缺陷。它允许系统在从暂停状态恢复后保持卷打开。

然而,加密技术可以减轻这种攻击的后果,如果你选择

  1. “安全”的密码哈希算法(参见选项--hashcryptsetup(8)
  2. “安全”的密码或密钥库。

对于 (1.),默认设置对于较新的内核和cryptsetup版本来说应该没问题。您以后可以随时更改哈希算法(前提是您知道正确的密码或卷密钥)。

对于 (2.),请参阅选择密码短语的常用准则。很多人似乎同意兰德尔·门罗的漫画说明了该选择的可行方案。另一种选择是将密钥存储在智能卡上。您也可以将两者配对。

相关内容