Son zamanlarda haberler bunu kırdı bir güvenlik açığı tespit edildi (zaten CVE-2021-4122 altında listelenmiştir) Linux'ta disk bölümlerini şifrelemek için kullanılan Cryptsetup paketinde.
Bundan bahsediliyor bir saldırganın güvenlik açığından yararlanabilmesi için fiziksel erişime sahip olması gerekir şifrelenmiş ortama, yani, yöntem, esas olarak şifreli harici sürücülere saldırmak için mantıklıdır, örneğin, saldırganın erişiminin olduğu, ancak verilerin şifresini çözmek için parolayı bilmediği flash sürücüler.
Saldırı yalnızca LUKS2 formatı için geçerlidir ve meta veri işleme ile ilişkilidir Gerekirse, erişim anahtarını değiştirmeye izin veren "çevrimiçi yeniden şifreleme" uzantısını etkinleştirmekten sorumlu, bölümle çalışmayı durdurmadan anında veri şifreleme işlemini başlatın.
Şifre çözme ve yeni bir anahtarla şifreleme işlemi uzun zaman aldığından, "çevrimiçi yeniden şifreleme", bölümle çalışmanın kesintiye uğramamasına ve arka planda yeniden şifreleme yapılmasına izin vererek, verileri bir anahtardan diğerine kademeli olarak aktarır. Özellikle, bölümü şifrelenmemiş bir forma çevirmenize izin veren boş bir hedef anahtar seçmek mümkündür.
Saldırgan, LUKS2 meta verilerinde, bir hata sonucunda şifre çözme işleminin iptal edilmesini simüle eden değişiklikler yapabilir ve değiştirilen sürücünün sahibi tarafından daha sonra etkinleştirilmesi ve kullanılmasından sonra bölümün bir kısmının şifresinin çözülmesini sağlayabilir. Bu durumda, değiştirilmiş sürücüyü bağlayıp doğru şifre ile kilidini açan kullanıcı, kesintiye uğrayan yeniden şifreleme işleminin geri yüklenmesi hakkında herhangi bir uyarı almaz ve bu işlemin ilerlemesini sadece “luks Dump” komutu ile öğrenebilir. . Bir saldırganın şifresini çözebileceği veri miktarı, LUKS2 başlığının boyutuna bağlıdır, ancak varsayılan boyut (16 MiB) ile 3 GB'ı aşabilir.
sorun yeniden şifreleme işleminin hesaplama gerektirmesine rağmen ve yeni ve eski anahtarların karmalarının doğrulanması, yeni durum şifreleme için bir anahtarın yokluğunu ima ediyorsa (düz metin) karma, kesintiye uğrayan şifre çözme sürecini geri yüklemek için gerekli değildir.
Buna ek olarak, Şifreleme algoritmasını belirten LUKS2 meta verileri, değişiklikten korunmaz bir saldırganın eline düşerse. Güvenlik açığını engellemek için geliştiriciler, LUKS2'ye, bilinen anahtarlara ve meta veri içeriğine dayalı olarak hesaplanan ek bir karmanın doğrulandığı ek meta veri koruması ekledi; yani, bir saldırgan artık şifre çözme parolasını bilmeden meta verileri gizlice değiştiremez.
Tipik bir saldırı senaryosu, saldırganın şu fırsata sahip olmasını gerektirir: ellerini koymak Diskte birkaç kez. İlk olarak, erişim parolasını bilmeyen saldırgan, sürücünün bir sonraki etkinleştirilmesinde verilerin bir kısmının şifresinin çözülmesini başlatan meta veri alanında değişiklikler yapar.
Sürücü daha sonra yerine geri döndürülür ve saldırgan, kullanıcı bir parola girerek sürücüye bağlanana kadar bekler. Cihazın kullanıcı tarafından etkinleştirilmesi sırasında, arka planda, şifrelenmiş verilerin bir kısmının şifresi çözülmüş verilerle değiştirildiği bir yeniden şifreleme işlemi başlar. Ayrıca, bir saldırgan aygıtı tekrar ele geçirebilirse, sürücüdeki bazı verilerin şifresi çözülür.
Sorun, cryptsetup projesinin bakımcısı tarafından belirlendi ve cryptsetup 2.4.3 ve 2.3.7 güncellemelerinde düzeltildi.
Dağıtımlardaki sorunun çözümü ile güncellemelerin üretilme durumu şu sayfalardan takip edilebilir: RHEL, SUSE, Fötr şapka, Ubuntu, Kemer. Güvenlik açığı, yalnızca "çevrimiçi yeniden şifreleme" işlemi için destek sağlayan cryptsetup 2.2.0'ın yayımlanmasından bu yana ortaya çıkıyor. Güvenlik çözümü olarak “–disable-luks2-reencryption” seçeneğinden başlayarak kullanılabilir.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan haberlerle ilgili detayları aşağıdaki sayfalardan kontrol edebilirsiniz. aşağıdaki bağlantı.