Erhöhen Sie die Zeit für Brute-Force-Angriffe auf die vollständige Festplattenverschlüsselung von Luks

Question 1

Jeder, der versucht, Ihre verschlüsselte Festplatte mit Brute-Force-Methode zu knacken, würde den Angriff auf seinen Computern gegen Ihre Festplatten-Header ausführen. Die Systemparameter Ihres Betriebssystems wären bedeutungslos.

Bearbeiten

ProU. Windl'sKommentar Ich habe genauer hingesehen. Meine ursprüngliche Aussage oben ist jedoch immer noch richtigIter-ZeitIstkein Systemparameterwie ich aufgrund des Namens fälschlicherweise angenommen habe.

Iter-Zeitist nicht wirklich Zeit, es scheintIterationendefiniert auf eine Weise, die ich als seltsam bezeichnen würde, indem man die Zeit verwendet. Anstelle einer festen Iterationsanzahl ist dies die Anzahl der Iterationen, die auf dieser bestimmten Maschine in der definierten ms möglich sind, die angegeben wird durchIter-Zeit. Also ja, dieIter-ZeitDer einzige Parameter ist die Zeit, aber die Iterationszahlen sind von der Geschwindigkeit der jeweiligen Maschine abhängig.

ich fandLinux-Blog – Dr. Mönchmeyersehr informativ zu sein.

Einige Zitate aus dem Artikel, die ich interessant fand:

...Es ist die Berechnung des Hauptschlüssels, die zu enormen Verzögerungen führt. Die AES-Entschlüsselung selbst ist keine Hauptursache für die Verzögerung beim Booten ...

Dies lässt darauf schließen, dass das Erraten von Passphrasen mit Brute-Force-Methoden verlangsamt wird, das Erraten von Rohschlüsseln jedoch nicht beeinträchtigt wird. Realistisch betrachtet wäre das Erraten von Rohschlüsseln ohnehin hoffnungslos.

...Man sollte auch bedenken, dass ein Angreifer, der die verschlüsselte Festplatte physisch unter seine Kontrolle gebracht hat, versuchen würde, LUKS-Passwörter auf viel schnelleren Maschinen als Ihrer zu knacken. Mehrere 10 Millionen PBKDF2-Iterationen pro Sekunde sind also durchaus möglich – also mehrere Passwortversuche pro Sekunde. ...

Nochmals vielen Dank anU. Windlfür den Kick, weiter zu schauen.

Answer

Jeder, der versucht, Ihre verschlüsselte Festplatte mit Brute-Force-Methode zu knacken, würde den Angriff auf seinen Computern gegen Ihre Festplatten-Header ausführen. Die Systemparameter Ihres Betriebssystems wären bedeutungslos.

Bearbeiten

ProU. Windl'sKommentar Ich habe genauer hingesehen. Meine ursprüngliche Aussage oben ist jedoch immer noch richtigIter-ZeitIstkein Systemparameterwie ich aufgrund des Namens fälschlicherweise angenommen habe.

Iter-Zeitist nicht wirklich Zeit, es scheintIterationendefiniert auf eine Weise, die ich als seltsam bezeichnen würde, indem man die Zeit verwendet. Anstelle einer festen Iterationsanzahl ist dies die Anzahl der Iterationen, die auf dieser bestimmten Maschine in der definierten ms möglich sind, die angegeben wird durchIter-Zeit. Also ja, dieIter-ZeitDer einzige Parameter ist die Zeit, aber die Iterationszahlen sind von der Geschwindigkeit der jeweiligen Maschine abhängig.

ich fandLinux-Blog – Dr. Mönchmeyersehr informativ zu sein.

Einige Zitate aus dem Artikel, die ich interessant fand:

...Es ist die Berechnung des Hauptschlüssels, die zu enormen Verzögerungen führt. Die AES-Entschlüsselung selbst ist keine Hauptursache für die Verzögerung beim Booten ...

Dies lässt darauf schließen, dass das Erraten von Passphrasen mit Brute-Force-Methoden verlangsamt wird, das Erraten von Rohschlüsseln jedoch nicht beeinträchtigt wird. Realistisch betrachtet wäre das Erraten von Rohschlüsseln ohnehin hoffnungslos.

...Man sollte auch bedenken, dass ein Angreifer, der die verschlüsselte Festplatte physisch unter seine Kontrolle gebracht hat, versuchen würde, LUKS-Passwörter auf viel schnelleren Maschinen als Ihrer zu knacken. Mehrere 10 Millionen PBKDF2-Iterationen pro Sekunde sind also durchaus möglich – also mehrere Passwortversuche pro Sekunde. ...

Nochmals vielen Dank anU. Windlfür den Kick, weiter zu schauen.

Question 2

Sie würden diesen Befehl auf Ihren verschlüsselten Partitionen ausführen. Dies wird normalerweise nicht eingeschlossen, /bootda das System Code laden muss, um Ihre LUKS-Partition zu finden und zu entschlüsseln.

So finden Sie alle LUKS-verschlüsselten Partitionen auf Ihrem System:

sudo fdisk -l |grep ^/dev/ |grep -Eo '^\S+' |xargs --max-args=1 -d '\n' -I DEV bash -c 'sudo cryptsetup isLuks DEV && echo DEV'

Beachten Sie, dass die cryptsetupManpage besagt, dass die Verwendung von --iter-time"alle späteren luksOpen-Operationen entsprechend verlangsamt". Mit anderen Worten, Sie müssen 10 Sekunden warten, um Ihre Partition zu entsperren, selbst wenn Sie die richtige Passphrase eingeben. Außerdem glaube ich, dass die 10 Sekunden berechnet sind fürdeinWenn Sie also schnellere und/oder mehrere Computer verwenden, können Sie Ihre Passphrase schneller knacken.

Stellen Sie sicher, dass Sie eine sichere Passphrase verwenden!

Answer

Sie würden diesen Befehl auf Ihren verschlüsselten Partitionen ausführen. Dies wird normalerweise nicht eingeschlossen, /bootda das System Code laden muss, um Ihre LUKS-Partition zu finden und zu entschlüsseln.

So finden Sie alle LUKS-verschlüsselten Partitionen auf Ihrem System:

sudo fdisk -l |grep ^/dev/ |grep -Eo '^\S+' |xargs --max-args=1 -d '\n' -I DEV bash -c 'sudo cryptsetup isLuks DEV && echo DEV'

Beachten Sie, dass die cryptsetupManpage besagt, dass die Verwendung von --iter-time"alle späteren luksOpen-Operationen entsprechend verlangsamt". Mit anderen Worten, Sie müssen 10 Sekunden warten, um Ihre Partition zu entsperren, selbst wenn Sie die richtige Passphrase eingeben. Außerdem glaube ich, dass die 10 Sekunden berechnet sind fürdeinWenn Sie also schnellere und/oder mehrere Computer verwenden, können Sie Ihre Passphrase schneller knacken.

Stellen Sie sicher, dass Sie eine sichere Passphrase verwenden!

Question 3

Um herauszufinden, welchem LUKS-Gerät /bootes entspricht, versuchen Sie es mit mount | grep /bootund überprüfen Sie es dann mit cat /etc/crypttabund blkid <your_device>. Die Ausgabe sollte etwa so aussehen:

/dev/sys/boot: UUID="f3aabb69-d3ca-41cf-87cf-b19585f2c123" TYPE="crypto_LUKS"

Siehe auch meinen Kommentar zur Frage.

Answer

Um herauszufinden, welchem LUKS-Gerät /bootes entspricht, versuchen Sie es mit mount | grep /bootund überprüfen Sie es dann mit cat /etc/crypttabund blkid <your_device>. Die Ausgabe sollte etwa so aussehen:

/dev/sys/boot: UUID="f3aabb69-d3ca-41cf-87cf-b19585f2c123" TYPE="crypto_LUKS"

Siehe auch meinen Kommentar zur Frage.

Question 4

Anscheinend habe ich missverstanden, was ich zu tun versuchte. Wenn dies nur die Zeit auf meinem eigenen Rechner erhöht, dann hat es wirklich keinen großen Sinn. Vielen Dank an alle für die tollen Informationen. Es wäre toll, wenn eine solche Funktion in das Verschlüsselungsmodul eingebaut wäre, sodass ein Timeout festgelegt werden könnte, das auf allen Rechnern gültig wäre, auf denen das verschlüsselte Laufwerk installiert wird. Beispiel: Ein Timeout von 10 oder 15 Sekunden, egal in welches Gerät das Laufwerk installiert wird. Wenn jemand eine lange Passphrase hat, wie es sein sollte, dann sehe ich darin keine Unannehmlichkeit und es würde nur zu einer weiteren Härtung des Laufwerks führen.

Answer

Anscheinend habe ich missverstanden, was ich zu tun versuchte. Wenn dies nur die Zeit auf meinem eigenen Rechner erhöht, dann hat es wirklich keinen großen Sinn. Vielen Dank an alle für die tollen Informationen. Es wäre toll, wenn eine solche Funktion in das Verschlüsselungsmodul eingebaut wäre, sodass ein Timeout festgelegt werden könnte, das auf allen Rechnern gültig wäre, auf denen das verschlüsselte Laufwerk installiert wird. Beispiel: Ein Timeout von 10 oder 15 Sekunden, egal in welches Gerät das Laufwerk installiert wird. Wenn jemand eine lange Passphrase hat, wie es sein sollte, dann sehe ich darin keine Unannehmlichkeit und es würde nur zu einer weiteren Härtung des Laufwerks führen.

Erhöhen Sie die Zeit für Brute-Force-Angriffe auf die vollständige Festplattenverschlüsselung von Luks

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen