LINUX.ORG.RU

Уязвимость в cryptoloop


0

0

Найдена потенциальная уязвимость в cryptoloop модуле ядра. При помощи известного открытого текста теоретически можно дешифровать данные на разделе.

Возникает масса неприятных вопросов. Если cryptoloop уязвим, не нужно ли его заменить на dm_crypt? Насколько часто можно производить смену способов шифрования в ядре (и делать их все несовместимыми)? Что делать с "крипто"-уязвимостями, которые нельзя просто продемонстрировать на примере эксплойта?

Есть ссылка на обсуждение с Эндрю Мортоном - исключать cryptoloop из новых ядер или нет.

http://lwn.net/Articles/67216/ http://kerneltrap.org/node/view/2433

>>> Подробности

anonymous

Проверено: maxcom

> Kerneli.org loop crypto implementation (and derived versions such as Debian, SuSE and others) are vulnerable to optimized dictionary attacks because they use unseeded (unsalted) and uniterated key setup.

все видели какие пионеры лялих делают..

dilmah ★★★★★
()
Ответ на: комментарий от dilmah

Такие же какие делали тебя, комсомолец ты наш

anonymous
()

есть же стандарт pkcs5_pbkdf2. Что так сложно было его почитать перед реализацией:)

dilmah ★★★★★
()

Этой новости больше месяца. Вообще, это не уязвимость кода, это просто неотъемлемая особенность всей идеи. Достаточно использовать длинные сложные пароли, и все будет ок.

ikm ★★
()
Ответ на: комментарий от dilmah

>unseeded (unsalted) and uniterated key setup

Это дополнительные возможности, их отсутствие некритично.

anonymous
()
Ответ на: комментарий от ikm

>Этой новости больше месяца.

А про то что криптолуп могут реально выкинуть из mainstream-ядра, этой новости времени поменьше...

anonymous
()
Ответ на: комментарий от ikm

> Достаточно использовать длинные сложные пароли, и все будет ок.

просто когда используется метод pkcs5_pbkdf2 то в этом нет необходимости:

за счет salt нельзя создать precomputed словарь

а за счет числа итераций преобразование словесный_пароль->реальный_пароль медленное и поэтому ты все равно не можешь перебрать словарь.

Может быть я последний пункт неправильно понимаю.

dilmah ★★★★★
()

Тут упомянули dm-crypt как альтернативу cryptoloop пошарив по нету я нашел только пару патчей в lkml и все. Подскажите где просветиться по этому поводу.

AISoft
()
Ответ на: комментарий от anonymous

>А как же loop-AES?

Он и противопоставляется как "правильное" решение так-же как и dmcrypt, а если вспомнить еще "atomic loop", разные версии losetup, несовместимость разных cryptoAPI и т.д., то получается, что о едином стандарте никак договориться не могут. Легко можно потерять данные, если завтра будет в ядре все по-другому.

anonymous
()
Ответ на: cryptoloop is evil от Dselect

> Шифровать ФС вместо того, чтоб шифровать файл -- это изврат.

еще один красноглазый:)

с файлами обычно нужно работать. Поэтому они обязательно будут в нешифрованном виде в памяти и в файлах. Первое решается размещением свопа на шифрующемся девайсе, второе файловой системой на шифрующемся девайсе.

dilmah ★★★★★
()
Ответ на: комментарий от dilmah

Не, лучше иметь шифрованные файлы на шиф. файловой системе.

Причем части одного файла шифруются независимо, а также механизм

самоликвидации файлов, фс, криптопроца, сервера и админа.

Sun-ch
()
Ответ на: комментарий от Sun-ch

>Не, лучше иметь шифрованные файлы на шиф. файловой системе.

>Причем части одного файла шифруются независимо, а также механизм

>самоликвидации файлов, фс, криптопроца, сервера и админа.

Паранойя - лучшая подруга сисадмина!

1984 (с) Мое, из неопубликованного.

anonymous
()
Ответ на: комментарий от dilmah

>> Достаточно использовать длинные сложные пароли, и все будет ок.

> просто когда используется метод pkcs5_pbkdf2 то в этом нет необходимости:

> за счет salt нельзя создать precomputed словарь

> а за счет числа итераций преобразование словесный_пароль->реальный_пароль медленное и поэтому ты все равно не можешь перебрать словарь.

Согласен. Хотя salt надо где-то хранить, что, к сожалению, усложняет систему...

ikm ★★
()
Ответ на: комментарий от anonymous

cryptoloop is evil

Скажите, а у вас не возникло впечатления, что вся эта новость выеденного яйца не стоит.
Ведь очевидно, что перебором всегда можно найти ключ, и при известном открытом тексте всегда можно построить таблицу, вопрос только в ее размере.
Вот скажем, вы не считали какого размера нужна таблица для описанной на сайте атаки? А вы попроьуйте подсчитать!

anonymous
()
Ответ на: комментарий от Sun-ch

Судя по разным форумам, основные предназначения систем шифрования и прочей защиты информации в xUSSR следующие:

1. Попытки скрыть двойную (тройную и так далее) бухгалтерию от "маски-шоу" и братков. Сюда же относятся и различные системы и методы "мгновенного и незаметного" убиения винтов и прочих носителей информации.

2. Попытки скрыть личную переписку среди деловой переписки (воровство ресурсов работодателя).

3. И так далее...

Obidos ★★★★★
()
Ответ на: cryptoloop is evil от anonymous

>А вы попроьуйте подсчитать!

~2^64Tb, ну и что? А вдруг еще и шифр окажется слабым и без таблицы можно? Дело не в этом. Реализация крипто должна быть корректной.

anonymous
()
Ответ на: cryptoloop is evil от anonymous

> Скажите, а у вас не возникло впечатления, что вся эта новость выеденного яйца не стоит. Ведь очевидно, что перебором всегда можно найти ключ, и при известном открытом тексте всегда можно построить таблицу, вопрос только в ее размере.

Если нет хитрого метода генерации ключа то использовать >100-битные ключи становится бесполезно так как словесный пароль такого размера человек никогда не запомню. С другой стороны вокруг полно методов с 256-битными ключами. Зачем они тогда нужны?

dilmah ★★★★★
()
Ответ на: комментарий от dilmah

>словесный пароль такого размера человек никогда > не запомню.

10 случайно выбранных слов в случайном порядке даже из небольшого словаря дают ~128bit.

Параноики могут выучить двадцать...

anonymous
()
Ответ на: cryptoloop is evil от anonymous

>Ведь очевидно, что перебором всегда можно найти ключ

Даже не то, что не очевидно, а совсем не верно!

Одна из теорем Шеннона, безукоризненно математически доказанная, гласит: существует абсолютно нераскрываемый шифр. Правда, в ней не указанно, как этот шифр найти, но это не значит, что его уже нет.

anonymous
()
Ответ на: комментарий от anonymous

>> А вы попроьуйте подсчитать!

> ~2^64Tb, ну и что? А вдруг еще и шифр окажется слабым и без таблицы можно? Дело не в этом. Реализация крипто должна быть корректной.

Корректная реализация -- это когда для взлома необходим полный перебор (brute force). Время перебора при этом определяет криптостойкость. И не более того.

Реализация корректна. Однако провести dictionary-атаку на нее было бы несравенно дороже, если бы в ней применялись salting и дорогие по времени преобразования хеш-функции.

ikm ★★
()
Ответ на: комментарий от anonymous

>не указанно, как этот > шифр найти,

Его уже нашли сто лет назад: шифр Вернама, одноразовый блокнот. Это не имеет никакого отношения к современной криптографии, используемой в т.ч. и в Линукс-ядре.

anonymous
()
Ответ на: комментарий от ikm

>Реализация корректна

Надо учитывать, что файловые системы дают много известного открытого текста и как-то минимизировать возможность использовать это обстоятельство.

anonymous
()
Ответ на: комментарий от anonymous

> Одна из теорем Шеннона, безукоризненно математически доказанная, гласит: существует абсолютно нераскрываемый шифр. Правда, в ней не указанно, как этот шифр найти, но это не значит, что его уже нет.

Да, действительно, такой шифр существует. Если вы закроете дверь на кодовый замок, а потом заварите эту дверь автогеном, то ни один код к этой двери не подойдет. Вот вам и доказательство этой великой теоремы.

p.s. Если дверь заминировать с помощью тротила, может статься, что, действительно, "шифра уже не будет", так как и двери может уже не оказаться тоже.

ikm ★★
()
Ответ на: комментарий от anonymous

Кстати, нераскрываемый шифр один - обычно его назывют шифр Вернама. Это гаммирование на настоящей случайной неповторяющейся последовательности

anonymous
()
Ответ на: комментарий от anonymous

cryptoloop is evil

Кстати, размер таблицы подбора для AES составлял бы не меньше чем 2^128 байт или примерно 10^26 Тбайт, создание такой таблицы в ближайшее время нереально

anonymous
()
Ответ на: комментарий от sS

– Так. Попробуем. Минуточку. Да, такой ящик обнаружен. Скажите, пожалуйста, ваш пароль.
– Пароль у меня такой: мама сшила мне штаны из березовой коры
– Молодой человек, кто вас такие пароли учил делать?.. Набирать также?
– Хакер один знакомый. Да, также. Только вместо символов нижнего подчеркивания ничего не ставьте.
– Вы ошибаетесь - пробелов в пароле быть не может.
– А пробелы и не надо - все слитно пишется.
– А. Понятно. Минуточку.
– Погодите, девушка.
– Я сказала - минуточку.
– Девушка.
– Ваш пароль не подходит
– Это еще не все, девушка. Теперь надо в этом пароле удалить каждую вторую букву
– Конспиратор. Удаляю. Удалила. Все?
– Нет, теперь надо каждую оставшуюся вторую букву заменить на цифру "0"
– Молодой человек, вы часто будете пользоваться своим ящиком?
– Да, каждый день. У меня сейчас интернета нет
– О, боже!

Sun-ch
()
Ответ на: комментарий от dilmah

2 dilmah:

> с файлами обычно нужно работать.

Если б не нужно было работать, можно было б просто стереть ( shred /dev/hda :)) -- и никаких проблем.

> Поэтому они обязательно будут в нешифрованном виде в памяти

Что имеется в виду?

1) block cache? Дык в случае cryptoloop все еще хуже.

2) Адресное пространство приложения? -- ставим соотвествующим образом права на IPC > и в файлах

Каким образом?

> Первое решается размещением свопа на шифрующемся девайсе

# /etc/selinux/policy/constraints.te

neverallow ~{ kernel_t fsadm_t } swapfile_t:file { read getattr ioctl lock write setattr append }

И не надо никаких изврашений.

> второе файловой системой на шифрующемся девайсе.

Не, просто надо права правильно поставить.

Dselect ★★★
()
Ответ на: комментарий от anonymous

> Кстати, нераскрываемый шифр один - обычно его назывют шифр Вернама. Это гаммирование на настоящей случайной неповторяющейся последовательности

one time pad'ы сколь нераскрываемы, столь и бесполезны.

ikm ★★
()
Ответ на: комментарий от ikm

> p.s. Если дверь заминировать с помощью тротила, может статься, что, > действительно, "шифра уже не будет", так как и двери может уже не оказаться > тоже

Примеры с дверями больше похожи не на шифры, а на односторонние хэш-функции и к Шэннону тоже никакого отношения не имеют.

P.S. Он уже в гробу перевернулся.

anonymous
()
Ответ на: комментарий от ikm

Напротив, шифр Вернама, весьма полезен и активно применялся, например во время второй мировой войны, а также и в послевоенное время. Вы слышали что-нибудь о шифровальной машине M-100? Некоторую информацию о ней можно посмотреть здесь: http://www.ancort.ru/newspaper_003.htm

anonymous
()

В общем всё понятно. Открытые исходники - это зло! Причем страшное зло. Дыра mremap в ядре 2.2.* была хер знает сколько времени, и никто в эти исходники не смотрел, никому они задаром не усрались. А какой-то алкаш по пьяни залезв случайный кусок кода и дыру узрел. А не было бы исходников, и не нашел бы никогда. Жили 100 лет с дырой mremap, и ещё столько же прожили бы. Исходники нужно прятать. Сваливаю на Win2003Server. Куда безопаснее...

anonymous
()
Ответ на: комментарий от anonymous

Господа!
Почитайте Шнайера. "Секреты и ложь. Безопасность в цифровом мире"
По моему так книжка называется.  Согласно этой книжке каждая последовательность символов имеет энтропию. Для естественного английского она 1,3 бита, для пароля на английском со всеми спецсимволами 4 бит. Так вот для того чтобы вам не был нужен 
salt длина пароля должна быть 128 * 8 / 4 = 256 бит, или 32 символа набранных на клавиатуре.

А вообще могу сказать когда ломают пароли - то все это пофиг.
Пароль одного сотрудника оказался преобразованным именем 
музыкального альбома, который он любил слушать.

anonymous
()
Ответ на: комментарий от anonymous

Угу. И откуда только дырки в Microsoft Windows находят... А исходников то нет (полных -- то, что украли не в счет)...
Глупость мелете...

anonymous
()
Ответ на: комментарий от anonymous

Плевать сколько дырок находят в винде. Это не принципиально важно. Принципиально важно, что если бы её исходники были открыты, то дыр было бы в десятки раз больше. Вывод - opensource - это зло! В баню.

anonymous
()
Ответ на: комментарий от anonymous

Почитай, кстати, про историю криптографии, там тоже раньше господствовала идея закрытых алгоритмов шифрования.
Если кому то _СИЛЬНО_ нужно, то они смогут достать исходный код любой закрытой программы. Кроме того есть достаточно много людей, которые имеют доступ к исходному коду, например, виндов. В результате они оказываются в ситуации зрячих в стране слепых - они могут провести неотразимые атаки на компьютеры.

anonymous
()
Ответ на: комментарий от anonymous

> Кроме того есть достаточно много людей, которые имеют доступ к исходному коду, например, виндов. В результате они оказываются в ситуации зрячих в стране слепых - они могут провести неотразимые атаки на компьютеры.

MSBlast/Lovesan?

anonymous
()
Ответ на: комментарий от anonymous

Вирусы это попса!!!

Профессионалы с помощью своих знаний зарабатывают _ДЕНЬГИ_, и если уж они идут на преступление, то точно зная, что в случае успеха их ждет приличный куш. Думаю, что о профессионально выполненных компьютерных атаках рядовые граждане никогда не узнают...

anonymous
()
Ответ на: комментарий от anonymous

>MSBlast/Lovesan?

Да это все то что выплыло наружу - а что не выплыло? а теперь когда исходники сперли? весь спам и весь варез хостится на виндах с дырками и владельцы не сном ни духом... а теперь будет вообще затсрелиться....

anonymous
()
Ответ на: комментарий от anonymous

Интересно, что вирусы в большинстве случаев используют уже общеизвестные уязвимости. Вероятно это связано с тем, что если хакеру (в плохом смысле этого слова) известна какая-нибудь неопубликованная уязвимость, он вряд-ли захочет с этой информацией поделится со всеми, скажем изготовив вирус. Скорее он станет осуществлять целенаправленные атаки

anonymous
()
Ответ на: комментарий от anonymous

> Напротив, шифр Вернама, весьма полезен и активно применялся, например во время второй мировой войны, а также и в послевоенное время. Вы слышали что-нибудь о шифровальной машине M-100? > Некоторую информацию о ней можно посмотреть здесь: http://www.ancort.ru/newspaper_003.htm

Вот тут Bruce Schneier подробно пишет о пользе/бесполезности one time pads:

http://www.schneier.com/crypto-gram-0210.html#7

ikm ★★
()
Ответ на: комментарий от ikm

Ssany4:У меня пароль 128 символов
ага, а как правильно написать союз чтобы мозгов не хватает.
NP,FY.

anonymous
()
Ответ на: комментарий от ikm

2 ikm

Нет, я конечно понимаю, авторитет ШпикенШнайдера велик и ужастен, но тем не менее шифр однократного блокнота широко и успешно использовался, и этот факт отрицать никак невозможно!

anonymous
()
Ответ на: комментарий от anonymous

> Нет, я конечно понимаю, авторитет ШпикенШнайдера велик и ужастен, но тем не менее шифр однократного блокнота широко и успешно использовался, и этот факт отрицать никак невозможно!

Ладно, ладно, не будем отрицать! :) Просто слава этого шифра явно преувеличена, и вспоминают о нем в большинстве случаев не к месту =)

ikm ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.