সম্প্রতি সেই খবরটি ভেঙে গেল একটি দুর্বলতা চিহ্নিত করা হয়েছিল (ইতিমধ্যে CVE-2021-4122 এর অধীনে তালিকাভুক্ত) Cryptsetup প্যাকেজে, যা লিনাক্সে ডিস্ক পার্টিশন এনক্রিপ্ট করতে ব্যবহৃত হয়.
এটি উল্লেখ করা হয় দুর্বলতা কাজে লাগাতে, একজন আক্রমণকারীর অবশ্যই শারীরিক অ্যাক্সেস থাকতে হবে এনক্রিপ্ট করা মাধ্যমে, যে, পদ্ধতিটি মূলত এনক্রিপ্ট করা বহিরাগত ড্রাইভ আক্রমণ করার জন্য অর্থবোধ করে, যেমন ফ্ল্যাশ ড্রাইভ, যেখানে আক্রমণকারীর অ্যাক্সেস আছে, কিন্তু ডেটা ডিক্রিপ্ট করার পাসওয়ার্ড জানে না।
আক্রমণ এটি শুধুমাত্র LUKS2 ফরম্যাটের জন্য প্রযোজ্য এবং মেটাডেটা ম্যানিপুলেশনের সাথে যুক্ত "অনলাইন পুনরায় এনক্রিপশন" এক্সটেনশন সক্রিয় করার জন্য দায়ী, যা প্রয়োজন হলে, অ্যাক্সেস কী পরিবর্তন করতে, পার্টিশনের সাথে কাজ বন্ধ না করেই ফ্লাইতে ডেটা পুনঃক্রিপশন প্রক্রিয়া শুরু করার অনুমতি দেয়।
যেহেতু একটি নতুন কী দিয়ে ডিক্রিপশন এবং এনক্রিপশন প্রক্রিয়াটি দীর্ঘ সময় নেয়, তাই "অনলাইন পুনরায় এনক্রিপশন" পার্টিশনের সাথে কাজকে বাধাগ্রস্ত না করে এবং পটভূমিতে পুনরায় এনক্রিপশন সম্পাদন করতে দেয়, ধীরে ধীরে এক কী থেকে অন্য কীতে ডেটা স্থানান্তর করে। বিশেষ করে, একটি খালি লক্ষ্য কী নির্বাচন করা সম্ভব, যা আপনাকে বিভাগটিকে একটি এনক্রিপ্ট করা ফর্মে অনুবাদ করতে দেয়।
একজন আক্রমণকারী LUKS2 মেটাডেটাতে পরিবর্তন করতে পারে যা ব্যর্থতার ফলে ডিক্রিপশন ক্রিয়াকলাপ বন্ধ করে দেয় এবং পরবর্তী সক্রিয়করণ এবং মালিকের দ্বারা পরিবর্তিত ড্রাইভ ব্যবহারের পরে পার্টিশনের অংশের ডিক্রিপশন অর্জন করতে পারে। এই ক্ষেত্রে, যে ব্যবহারকারী সংশোধিত ড্রাইভটি সংযুক্ত করেছেন এবং সঠিক পাসওয়ার্ড দিয়ে এটিকে আনলক করেছেন তিনি বিঘ্নিত পুনরায় এনক্রিপশন ক্রিয়াকলাপ পুনরুদ্ধার সম্পর্কে কোনও সতর্কতা পান না এবং শুধুমাত্র "লুকস ডাম্প" কমান্ডের মাধ্যমে এই অপারেশনটির অগ্রগতি খুঁজে পেতে পারেন। . আক্রমণকারী যে পরিমাণ ডেটা ডিক্রিপ্ট করতে পারে তা নির্ভর করে LUKS2 হেডারের আকারের উপর, তবে ডিফল্ট আকারের সাথে (16 MiB) এটি 3 গিগাবাইট অতিক্রম করতে পারে।
সমস্যা এই সত্য থেকে উদ্ভূত যে যদিও পুনরায় এনক্রিপশন অপারেশনের জন্য গণনার প্রয়োজন হয় এবং নতুন এবং পুরানো কীগুলির হ্যাশগুলির যাচাইকরণ, যদি নতুন অবস্থাটি এনক্রিপশনের জন্য একটি কী (সাধারণ পাঠ্য) এর অনুপস্থিতি বোঝায় তবে বাধাপ্রাপ্ত ডিক্রিপশন প্রক্রিয়া পুনরুদ্ধার করার জন্য হ্যাশের প্রয়োজন হয় না।
উপরন্তু, এনক্রিপশন অ্যালগরিদম নির্দিষ্ট করে LUKS2 মেটাডেটা পরিবর্তন থেকে সুরক্ষিত নয় যদি তারা আক্রমণকারীর হাতে পড়ে। দুর্বলতা অবরুদ্ধ করার জন্য, বিকাশকারীরা LUKS2 এ অতিরিক্ত মেটাডেটা সুরক্ষা যোগ করেছে, যার জন্য একটি অতিরিক্ত হ্যাশ এখন যাচাই করা হয়েছে, পরিচিত কী এবং মেটাডেটা বিষয়বস্তুর উপর ভিত্তি করে গণনা করা হয়েছে, অর্থাৎ কোনও আক্রমণকারী আর ডিক্রিপশন পাসওয়ার্ড না জেনে চুপিসারে মেটাডেটা পরিবর্তন করতে সক্ষম হবে না।
একটি সাধারণ আক্রমণের দৃশ্যের জন্য আক্রমণকারীর সুযোগ থাকা প্রয়োজন তাদের হাত রাখা ডিস্কে কয়েকবার। প্রথমত, আক্রমণকারী, যে অ্যাক্সেস পাসওয়ার্ড জানে না, মেটাডেটা এলাকায় পরিবর্তন করে যা পরবর্তী সময়ে ড্রাইভ সক্রিয় করার সময় ডেটার অংশ ডিক্রিপশন শুরু করে।
তারপরে ড্রাইভটি তার জায়গায় ফিরে আসে এবং আক্রমণকারী অপেক্ষা করে যতক্ষণ না ব্যবহারকারী একটি পাসওয়ার্ড প্রবেশ করে এটি সংযুক্ত করে। ডিভাইসটির ব্যবহারকারী সক্রিয়করণের সময়, পটভূমিতে একটি পুনরায় এনক্রিপশন প্রক্রিয়া শুরু হয়, এই সময় এনক্রিপ্ট করা ডেটার অংশ ডিক্রিপ্ট করা ডেটা দিয়ে প্রতিস্থাপিত হয়। এছাড়াও, যদি কোনও আক্রমণকারী আবার ডিভাইসে তাদের হাত পেতে সক্ষম হয়, তবে ড্রাইভের কিছু ডেটা ডিক্রিপ্ট করা হবে।
সমস্যাটি ক্রিপ্টসেটআপ প্রকল্পের রক্ষণাবেক্ষণকারী দ্বারা চিহ্নিত করা হয়েছে এবং ক্রিপ্টসেটআপ 2.4.3 এবং 2.3.7 আপডেটে সংশোধন করা হয়েছে।
ডিস্ট্রিবিউশনে সমস্যার সমাধান সহ আপডেট প্রজন্মের অবস্থা এই পৃষ্ঠাগুলিতে ট্র্যাক করা যেতে পারে: RHEL, SUSE, ফেডোরা, উবুন্টু, খিলান. দুর্বলতা শুধুমাত্র ক্রিপ্টসেটআপ 2.2.0 প্রকাশের পর থেকে দেখা যায়, যা "অনলাইন রিক্রিপ্ট" অপারেশনের জন্য সমর্থন চালু করেছিল। "-disable-luks2-reencryption" বিকল্পটি দিয়ে শুরু করে নিরাপত্তা সমাধান হিসেবে ব্যবহার করা যেতে পারে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন খবর সম্পর্কে, আপনি বিবরণ চেক করতে পারেন নিম্নলিখিত লিঙ্ক.