Aumente el tiempo para el cifrado de disco completo de Luks de fuerza bruta

Question 1

Cualquiera que intente aplicar fuerza bruta a su disco cifrado estaría ejecutando el ataque en sus computadoras contra los encabezados de su disco. Los parámetros del sistema en su sistema operativo no tendrían sentido.

Editar

PorU. Windl'scomentario Miré con más atención. Sin embargo, mi afirmación original anterior sigue siendo correcta.iter-tiempoesno es un parámetro del sistemacomo supuse incorrectamente por el nombre.

iter-tiempoNo es exactamente el tiempo, parece seriteracionesdefinido en lo que yo consideraría una forma extraña de usar el tiempo. En lugar de un recuento de iteraciones fijo, es el número de iteraciones posibles en esa máquina específica en el ms definido indicado poriter-tiempo. Entonces si eliter-tiempoEl parámetro es el tiempo, pero da como resultado diferentes recuentos de iteraciones en función de la velocidad de esa máquina específica.

encontréBlog de Linux – Dr. Mönchmeyerser muy informativo.

Algunas citas del artículo que encontré interesantes:

...Es el cálculo de la Master Key lo que provoca enormes tiempos de retraso. El descifrado aes en sí no es una fuente importante del tiempo de retraso de arranque...

Esto sugiere que la adivinación de frases de contraseña por fuerza bruta se ralentiza, pero la adivinación de claves sin procesar no se vería afectada. De todos modos, adivinar las claves de forma realista y cruda sería inútil.

... También se debe tener en cuenta que un atacante que tuviera el disco cifrado bajo su control físico intentaría descifrar las contraseñas de LUKS en máquinas mucho más rápidas que la suya. Por lo tanto, son ciertamente posibles varios 10 millones de iteraciones de PBKDF2 por segundo, lo que significa múltiples pruebas de contraseña por segundo. ...

Gracias de nuevo aU. Windlpara que la patada mire más lejos.

Answer

Cualquiera que intente aplicar fuerza bruta a su disco cifrado estaría ejecutando el ataque en sus computadoras contra los encabezados de su disco. Los parámetros del sistema en su sistema operativo no tendrían sentido.

Editar

PorU. Windl'scomentario Miré con más atención. Sin embargo, mi afirmación original anterior sigue siendo correcta.iter-tiempoesno es un parámetro del sistemacomo supuse incorrectamente por el nombre.

iter-tiempoNo es exactamente el tiempo, parece seriteracionesdefinido en lo que yo consideraría una forma extraña de usar el tiempo. En lugar de un recuento de iteraciones fijo, es el número de iteraciones posibles en esa máquina específica en el ms definido indicado poriter-tiempo. Entonces si eliter-tiempoEl parámetro es el tiempo, pero da como resultado diferentes recuentos de iteraciones en función de la velocidad de esa máquina específica.

encontréBlog de Linux – Dr. Mönchmeyerser muy informativo.

Algunas citas del artículo que encontré interesantes:

...Es el cálculo de la Master Key lo que provoca enormes tiempos de retraso. El descifrado aes en sí no es una fuente importante del tiempo de retraso de arranque...

Esto sugiere que la adivinación de frases de contraseña por fuerza bruta se ralentiza, pero la adivinación de claves sin procesar no se vería afectada. De todos modos, adivinar las claves de forma realista y cruda sería inútil.

... También se debe tener en cuenta que un atacante que tuviera el disco cifrado bajo su control físico intentaría descifrar las contraseñas de LUKS en máquinas mucho más rápidas que la suya. Por lo tanto, son ciertamente posibles varios 10 millones de iteraciones de PBKDF2 por segundo, lo que significa múltiples pruebas de contraseña por segundo. ...

Gracias de nuevo aU. Windlpara que la patada mire más lejos.

Question 2

Ejecutaría este comando en sus particiones cifradas. Normalmente, esto no se incluye /bootporque el sistema necesita cargar código para encontrar y descifrar su partición LUKS.

Para encontrar todas las particiones cifradas con LUKS en su sistema:

sudo fdisk -l |grep ^/dev/ |grep -Eo '^\S+' |xargs --max-args=1 -d '\n' -I DEV bash -c 'sudo cryptsetup isLuks DEV && echo DEV'

Tenga en cuenta que la cryptsetuppágina de manual dice que el uso --iter-time"ralentiza todas las operaciones posteriores de luksOpen en consecuencia". En otras palabras, tendrás que esperar 10 segundos para desbloquear tu partición, incluso si escribes la contraseña correcta. Además, creo que los 10 segundos se calculan parasusistema, por lo que usar computadoras más rápidas y/o múltiples podría descifrar su frase de contraseña más rápido.

¡Asegúrate de utilizar una frase de contraseña segura!

Answer

Ejecutaría este comando en sus particiones cifradas. Normalmente, esto no se incluye /bootporque el sistema necesita cargar código para encontrar y descifrar su partición LUKS.

Para encontrar todas las particiones cifradas con LUKS en su sistema:

sudo fdisk -l |grep ^/dev/ |grep -Eo '^\S+' |xargs --max-args=1 -d '\n' -I DEV bash -c 'sudo cryptsetup isLuks DEV && echo DEV'

Tenga en cuenta que la cryptsetuppágina de manual dice que el uso --iter-time"ralentiza todas las operaciones posteriores de luksOpen en consecuencia". En otras palabras, tendrás que esperar 10 segundos para desbloquear tu partición, incluso si escribes la contraseña correcta. Además, creo que los 10 segundos se calculan parasusistema, por lo que usar computadoras más rápidas y/o múltiples podría descifrar su frase de contraseña más rápido.

¡Asegúrate de utilizar una frase de contraseña segura!

Question 3

Para saber a qué dispositivo LUKS /bootcorresponde, pruebe mount | grep /booty luego verifique usando cat /etc/crypttaby blkid <your_device>. La salida debería ser algo como:

/dev/sys/boot: UUID="f3aabb69-d3ca-41cf-87cf-b19585f2c123" TYPE="crypto_LUKS"

Vea también mi comentario sobre la pregunta.

Answer

Para saber a qué dispositivo LUKS /bootcorresponde, pruebe mount | grep /booty luego verifique usando cat /etc/crypttaby blkid <your_device>. La salida debería ser algo como:

/dev/sys/boot: UUID="f3aabb69-d3ca-41cf-87cf-b19585f2c123" TYPE="crypto_LUKS"

Vea también mi comentario sobre la pregunta.

Question 4

Parece que entendí mal lo que estaba intentando hacer. Si esto sólo aumenta la cantidad de tiempo en mi propia máquina, entonces realmente no tiene mucho sentido. Gracias a todos por la gran información. Sería fantástico si se incorporara una característica como esta en el módulo de cifrado para que se pudiera decir un tiempo de espera que se transmitiera a cualquier máquina en la que se colocara la unidad cifrada. Ejemplo: un tiempo de espera de 10 o 15 segundos sin importar en qué dispositivo esté colocada la unidad. Si alguien tiene una frase de contraseña larga, como debería, entonces no podría ver esto como ningún tipo de inconveniente y solo resultaría en un mayor endurecimiento del disco.

Answer

Parece que entendí mal lo que estaba intentando hacer. Si esto sólo aumenta la cantidad de tiempo en mi propia máquina, entonces realmente no tiene mucho sentido. Gracias a todos por la gran información. Sería fantástico si se incorporara una característica como esta en el módulo de cifrado para que se pudiera decir un tiempo de espera que se transmitiera a cualquier máquina en la que se colocara la unidad cifrada. Ejemplo: un tiempo de espera de 10 o 15 segundos sin importar en qué dispositivo esté colocada la unidad. Si alguien tiene una frase de contraseña larga, como debería, entonces no podría ver esto como ningún tipo de inconveniente y solo resultaría en un mayor endurecimiento del disco.

Aumente el tiempo para el cifrado de disco completo de Luks de fuerza bruta

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada