LINUX.ORG.RU
ФорумTalks

Полнодисковое шифрование говорят они...

 , ,


1

2

opennet:

Атака сводится к тому, что злоумышленник может подключить устройство для симуляции непрерывного нажатия Enter, откатить процесс загрузки на ручной ввод пароля разблокировки и успеть исчерпать максимальный лимит на число попыток ввода пароля в небольшой промежуток времени до окончания выполнения обработчика автоматической разблокировки (автоматическая разблокировка требует времени и симулируя очень быстрые нажатия Enter можно успеть завершить выполнение процесса ручной разблокировки раньше, чем отработает параллельно запущенный процесс автоматической разблокировки). Systemd, получив управление после неудачных попыток ручной разблокировки, не сможет получить доступ к файловым системам на зашифрованных дисках, предложит перейти в режим восстановления после сбоя и предоставит доступ к командной оболочке с правами root в окружении загрузочного ram-диска. 

Далее, так как ключи для разблокировки хранятся в TPM, атакующий, сохраняя за собой доступ с правами root, может инициировать штатный процесс автоматической разблокировки зашифрованных дисков при помощи инструментария Clevis и примонтировать корневой раздел из зашифрованного диска. 

Оригинальная ссылка

https://canonical.com//blog/tpm-backed-full-disk-encryption-is-coming-to-ubuntu

Компания Canonical анонсировала появление в осеннем выпуске Ubuntu 23.10 экспериментальной поддержки шифрования дисков, не требующего ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module).
★★★★★

Последнее исправление: vvn_black (всего исправлений: 4)
Ответ на: комментарий от windows10

Замороженные сосиски? Ты когда-нибудь пробовал держать зажатую в ладони замороженную сосиску дольше 10 секунд? Не только пароли расскажешь, но и новые нагенерируешь по запросу!

grem ★★★★★
()
Ответ на: комментарий от grem

Не только пароли расскажешь, но и новые нагенерируешь по запросу!

Да даже терморектальный криптоанализ не всегда поможет. Если коллеги переживают за твою судьбу, может и скинут пароли, а если нет... то не судьба. Это я намекаю на то, что не все данные есть в голове и не ко всем записанным данным можно легко получить доступ.

anc ★★★★★
()
Ответ на: комментарий от MagicMirror

Как по твоему происходит загрузка без установленного пинкода? Что происходит с данными, защищенными учётными данными устройства, а не юзера? Это что касается Андроида.

Ты мне про Direct Boot и File Based Encryption хочешь тут поведать? Так я в курсе.

А что до ТС - Кто сказал, что секреты для юзерской учётки и для FDE - одинаковые?

Потому что Full Disk Encryption – это буквально вот оно. Шифрование всего диска разом. Если внутри шифрованного раздела LUKS юзерские данные ещё отдельно зашифрованы, это очень круто. Только нахера тогда вообще LUKS нужен? Что и от чего именно он тут защищает, если есть доступ к девайсу и можно перехватить ключ?

Алсо, я тебе более того скажу: на этих серверных платах при наличии физического доступа можно сунуть логический анализатор прямо на контакты твоего TPM и выдрать ключ даже без необходимости с лялексом или загрузчиком взаимодействовать (https://hackaday.com/2023/08/25/bypassing-bitlocker-with-a-logic-analzyer/). Достаточно дождаться вот этого самого ребута.

НУ И ГДЕ ТЕПЕРЬ ТВОЙ БОГ?

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от grem

ЗЫ Возможно уже писал, я после ковида реально пасс от ноута забыл, подобрал, но не с первого раза.

anc ★★★★★
()
Ответ на: комментарий от praseodim

Какой удалённо, если там ещё корень не смонтирован? Локально. Злоумышленник подключает специальное HID устройство для теребонькания Enter.

Aceler ★★★★★
()
Ответ на: комментарий от MagicMirror

Юзердата хранится зашифрованной вне зависимости от установленных паролей

А пароль от неё в Google.

Aceler ★★★★★
()
Ответ на: комментарий от hateyoufeel

Ты мне про Direct Boot и File Based Encryption хочешь тут поведать? Так я в курсе.

В чём тогда твоя проблема? В чём принципиальная разница получения секрета для FDE и FBE?

на этих серверных платах

Америку открыл. Удачи подключить анализатор к CPU, где сейчас все секреты живут.

MagicMirror ★★
()
Ответ на: комментарий от MagicMirror

имитация нажатия — это имитация нажатия. Подключение специального устройства, имитирующего HID Device.

А я про обычное нажатие enter на обычной клавиатуре.

Aceler ★★★★★
()
Ответ на: комментарий от MagicMirror

В чём тогда твоя проблема?

У меня нет проблемы кроме того, что TPM – это дно, а вендоры кладут член на безопасность и своевременный выпуск обновлений.

Удачи подключить анализатор к CPU, где сейчас все секреты живут.

Всё ещё возможно. Плюс, TPM далеко не во всех CPU встроенные.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от MagicMirror

Энивей его там и нет, пароль рута появляется, уже когда расшифрован корень и есть возможность прочитать /etc/shadow.

Aceler ★★★★★
()
Ответ на: комментарий от hateyoufeel

Может, для галочки. А тем, кому нет, они как раз и начали запрашивать поддержку ПИН-требования.

gag ★★★★★
()
Ответ на: комментарий от hateyoufeel

Нет, SecureBoot сам по себе дыра и ни от чего не защищает.

t184256 ★★★★★
()

Если ваша безопасность зависит от гарантий разом и TPM и SecureBoot, то вы просто настроили небезопасную фигню. Настройте безопасную.

t184256 ★★★★★
()
Ответ на: комментарий от gag

Ну подключаешь iso с аварийным livecd а то и вовсе загружаешь .efi со средой восстановления. Не вижу такой проблемы, чтобы ради неё устраивать сабж.

MagicMirror ★★
()

https://canonical.com//blog/tpm-backed-full-disk-encryption-is-coming-to-ubuntu

Компания Canonical анонсировала появление в осеннем выпуске Ubuntu 23.10 экспериментальной поддержки шифрования дисков, не требующего ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module).
vvn_black ★★★★★
() автор топика
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)