Крипт орнатудағы осалдық LUKS2 бөлімдерінде шифрлауды өшіруге мүмкіндік берді

Жақында бұл жаңалық тарады осалдық анықталды (CVE-2021-4122 астында бұрыннан бар) Linux жүйесінде диск бөлімдерін шифрлау үшін қолданылатын Cryptsetup бумасында.

Бұл туралы айтылды осалдықты пайдалану үшін шабуылдаушы физикалық рұқсатқа ие болуы керек шифрланған ортаға, яғни әдіс негізінен шифрланған сыртқы дискілерге шабуыл жасау үшін мағынасы бар, шабуылдаушы қол жеткізе алатын, бірақ деректерді шифрды шешу үшін құпия сөзді білмейтін флэш-дискілер сияқты.

Шабуыл ол тек LUKS2 пішімі үшін қолданылады және метадеректермен өңдеумен байланысты «онлайн қайта шифрлау» кеңейтімін белсендіруге жауапты, ол қажет болған жағдайда кіру кілтін өзгертуге, бөліммен жұмысты тоқтатпай, деректерді қайта шифрлау процесін жылдам бастауға мүмкіндік береді.

Жаңа кілтпен шифрды шешу және шифрлау процесі ұзақ уақыт алатындықтан, «онлайн қайта шифрлау» бөліммен жұмысты үзбеуге және деректерді бір кілттен екіншісіне біртіндеп көшіре отырып, фондық режимде қайта шифрлауды орындауға мүмкіндік береді. Атап айтқанда, бөлімді шифрланбаған пішінге аударуға мүмкіндік беретін бос мақсатты кілтті таңдауға болады.

Шабуылдаушы LUKS2 метадеректеріне қате нәтижесінде шифрды шешу әрекетінің тоқтатылуын модельдейтін өзгерістер енгізе алады және кейіннен активтендірілгеннен кейін және өзгертілген дискіні иесі пайдаланғаннан кейін бөлімнің бір бөлігін шифрдан шығаруға қол жеткізе алады. Бұл жағдайда өзгертілген дискіні қосқан және оны дұрыс құпия сөзбен ашқан пайдаланушы үзілген қайта шифрлау әрекетін қалпына келтіру туралы ешқандай ескерту алмайды және бұл операцияның орындалу барысын тек «luks Dump» пәрмені арқылы біле алады. . Шабуылдаушы шифрын шеше алатын деректер көлемі LUKS2 тақырыбының өлшеміне байланысты, бірақ әдепкі өлшеммен (16 МБ) ол 3 ГБ-тан асуы мүмкін.

Мәселе қайта шифрлау операциясы есептеуді қажет ететіндігінен туындайды және жаңа және ескі кілттердің хэштерін тексеру, егер жаңа күй шифрлау кілтінің (қарапайым мәтін) жоқтығын білдіретін болса, үзілген шифрды шешу процесін қалпына келтіру үшін хэш қажет емес.

Сонымен қатар, Шифрлау алгоритмін көрсететін LUKS2 метадеректері модификациядан қорғалмаған егер олар шабуылдаушының қолына түссе. Осалдықты бұғаттау үшін әзірлеушілер LUKS2-ге қосымша метадеректер қорғауын қосты, ол үшін белгілі кілттер мен метадеректер мазмұны негізінде есептелетін қосымша хэш енді тексеріледі, яғни шабуылдаушы енді шифрды шешу құпия сөзін білмей, метадеректерді жасырын түрде өзгерте алмайды.

Әдеттегі шабуыл сценарийі шабуылдаушының мүмкіндігі болуын талап етеді қолдарын қоюға дискіде бірнеше рет. Біріншіден, кіру құпия сөзін білмейтін шабуылдаушы диск келесі рет іске қосылғанда деректердің бір бөлігін шифрлауды бастайтын метадеректер аймағына өзгерістер енгізеді.

Содан кейін диск өз орнына қайтарылады және шабуылдаушы пайдаланушы оны құпия сөзді енгізу арқылы қосқанша күтеді. Пайдаланушы құрылғыны белсендіру кезінде фондық режимде қайта шифрлау процесі басталады, оның барысында шифрланған деректердің бір бөлігі шифры шешілген деректермен ауыстырылады. Сондай-ақ, егер шабуылдаушы құрылғыға қайтадан қол жеткізе алса, дискідегі кейбір деректер шифры шешіледі.

Ақаулықты cryptsetup жобасының қолдаушысы анықтады және cryptsetup 2.4.3 және 2.3.7 жаңартуларында түзетілді.

Таратулардағы мәселені шешумен жаңартуларды генерациялау күйін мына беттерде бақылауға болады: RHELSUSEFedoraUbuntuАрка. Осалдық «онлайн қайта шифрлау» операциясына қолдауды енгізген cryptsetup 2.2.0 шығарылымынан кейін ғана пайда болады. «–disable-luks2-reencryption» опциясынан бастап қауіпсіздік шешімі ретінде пайдалануға болады.

Finalmente егер сіз бұл туралы көбірек білгіңіз келсе жаңалықтар туралы егжей-тегжейін тексере аласыз келесі сілтеме.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады.

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.