Fa poc es va donar a conèixer la notícia que va ser identificada una vulnerabilitat (ja catalogada sota CVE-2021-4122) al paquet Cryptsetup, que s'utilitza per xifrar particions de disc a Linux.
S'esmenta que per aprofitar la vulnerabilitat, un atacant ha de tenir accés físic al mitjà xifrat, és a dir, el mètode té sentit principalment per atacar unitats externes xifrades, com a unitats flaix, a les quals l'atacant té accés, però no coneix la contrasenya per desxifrar les dades.
l'atac és aplicable només per al format LUKS2 i està associat amb la manipulació de metadades responsable d'activar l'extensió "online reencryption", que permet, si cal, canviar la clau d'accés, iniciar el procés de reciframent de dades sobre la marxa sense aturar la feina amb la partició.
Donat que el procés de desxifrat i xifrat amb una nova clau porta molt de temps, l'online reencryption permet no interrompre el treball amb la partició i realitzar el reencriptat en segon pla, transferint gradualment les dades d'una clau a una altra. En particular, és possible seleccionar una clau de destinació buida, cosa que us permet traduir la secció a un formulari desxifrat.
Un atacant pot fer canvis a les metadades de LUKS2 que simulen un avortament de l'operació de desxifrat com a resultat d'una falla i aconseguir el desxifrat de part de la partició després de la posterior activació i ús de la unitat modificada per part del propietari. En aquest cas, l'usuari que va connectar la unitat modificada i la va desbloquejar amb la contrasenya correcta no rep cap advertiment sobre la restauració de l'operació de recifrat interrompuda i pot conèixer el progrés d'aquesta operació només amb l'ordre Luks Dump. La quantitat de dades que un atacant pot desxifrar depèn de la mida de la capçalera LUKS2, però amb la mida predeterminada (16 MiB) pot superar els 3 GB.
el problema s'origina pel fet que tot i que l'operació de recifrat requereix el càlcul i verificació dels hash de les claus noves i antigues, no cal el hash per restaurar el procés de desxifrat interromput si el nou estat implica l'absència d'una clau per al xifratge (text pla).
A més, les metadades de LUKS2 que especifiquen l'algorisme de xifratge no estan protegides contra modificacions si cauen a les mans d'un atacant. Per bloquejar la vulnerabilitat, els desenvolupadors van afegir protecció de metadades addicional a LUKS2, per a això ara es verifica un hash addicional, calculat en base a claus conegudes i contingut de metadades, és a dir, un atacant ja no podrà canviar sigilosament les metadades sense conèixer la contrasenya de desxifrat.
Un escenari d'atac típic requereix que l'atacant tingui l'oportunitat de posar les mans al disc diverses vegades. Primer, l'atacant, que no coneix la contrasenya d'accés, fa canvis a l'àrea de metadades que inicien el desxifrat de part de les dades la propera vegada que s'activi la unitat.
Després, la unitat es torna al vostre lloc i l'atacant espera fins que l'usuari la connecta ingressant una contrasenya. Durant l'activació del dispositiu per part de l'usuari, s'inicia un procés de reciframent en segon pla, durant el qual una part de les dades xifrades es reemplacen amb dades desxifrades. A més, si un atacant pot tornar a posar les mans al dispositiu, algunes de les dades al disc estaran desxifrades.
El problema va ser identificat pel mantenidor del projecte cryptsetup i solucionat a les actualitzacions cryptsetup 2.4.3 i 2.3.7.
L'estat de generació d'actualitzacions amb la solució del problema a les distribucions es pot rastrejar en aquestes pàgines: RHEL, SUSE, Fedora, Ubuntu, Arc. La vulnerabilitat només apareix des del llançament de cryptsetup 2.2.0, que va introduir suport per a l'operació de «recifrat en línia». Començar amb l'opció “–disable-luks2-reencryption” es pot fer servir com una solució de seguretat.
Finalment si estàs interessat en conèixer més a l'respecte sobre la notícia, pots consultar els detalls al següent enllaç.