Practical malleability attack against CBC-Encrypted LUKS partitions.

язабан за такое обращение с Ъ.

Ъ в пролёте.

Уже давно по-дефолту XTS.

Не давно, а с 1.6.0, а во-вторых в Wheezy 1.4.3-4, лучше б они его на новую версию обновили, чем clamav, который никому не сдался и tor, который обычно ставят не из дебиановской репы.

Just a few remarks:

1. This vulnerability has been known for a long, long time. One newer reference is “New Methods in Hard Disk Encryption”, Clemens Fruhwirth, 2005, i.e. the original LUKS document.

2. cryptsetup has not been using CBC as default for LUKS since 2013-01-14, with the release of version 1.6.0.

3. An attacker has a very high risk of being detected (if the attack fails) and may need access several times (exact hardware and firmware, then craft attack, then attack again). An attacker that has access several times has already won. Even an attacker that has access just once can far easier and with far lower risk of detection install a generic Blue Pill root-kit.

ТС слоупок или/и тролль.

Придется перешифровать LVM на ноутбуке :(

2. cryptsetup has not been using CBC as default for LUKS since 2013-01-14, with the release of version 1.6.0.

ТС слоупок или/и тролль.

Так грубо.

https://packages.debian.org/wheezy/cryptsetup

Ой-ой-ой, значит дебиан решето?

Ой-ой-ой, значит дебиан решето?

Пытаюсь гнать от себя такие мысли.

А я тебе говорил, что на XTS не просто так перешли. Ссылку вот только не дал.

Никто не запрещает использовать ключи -c, -h и -s.

А я тебе говорил, что на XTS не просто так перешли. Ссылку вот только не дал.

Да, но чтоб ТАК.

И если уж совместимость третьих пакетов не позволяет обновить cryptsetup до 1.6.0, то хоть взяли бы, да перекомпилировали с другими флагами по дефолту, и новые инсталляции wheezy будут спасены.

А иначе того и гляди, доведут поддержку как со squeeze лет на 5, и эта феерия там будет долго представлять опасность.

Никто не запрещает использовать ключи -c, -h и -s.

-i ещё, и много финтов, но инсталлятор всё сделает по дефолтным настройкам.

и новые инсталляции wheezy будут спасены

Ты точно проверял актуальные выпуски d-i? Хотя бы из 7.4.

-i ещё

Крайне редко имеет смысл, как и -h.

инсталлятор всё сделает по дефолтным настройкам

Вообще-то там есть выбор алгоритма. Больше того, там есть консоль, хотя partman часто впадает в ступор от рукоблудия в консоли (прямо как Anaconda, хотя она и без лишних усилий падает отлично).