Šifrovanie diskov v Linuxe sa výrazne zlepšuje, dostáva ochranu integrity

Značky: LinuxšifrovanieHDD

DSL.sk, 14.12.2017

Technológia šifrovania diskov LUKS podporovaná v Linuxe a využívaná mnohými linuxovými distribúciami dostáva výrazné vylepšenie v podobe vydania novej hlavnej verzie nástroja cryptsetup 2.0.0.

Pri šifrovaní diskov podporovanom v rozličných moderných operačných systémoch sa uložené dáta šifrujú symetrickými šiframi, najmä AES. Univerzálna podpora pre takéto šifrovanie ľubovoľného blokového zariadenia je priamo v linuxovom jadre v podobe modulu dm_crypt tzv. device mappera, táto podpora ale nezahŕňa manažment kľúčov a hesiel.

Tú práve zabezpečuje štandard LUKS, Linux Unified Key Setup, a jeho implementácia softvérom cryptsetup. V LUKS sa potrebné metadáta a zašifrovaný kľúč pre samotné symetrické šifrovanie ukladá typicky v hlavičke na začiatku disku. Kľúč je uložený zašifrovaný kľúčom vypočítavaným z hesla užívateľa.

Nový cryptsetup 2 prichádza s výraznými novinkami. Prichádza s novou verziou hlavičiek LUKS2 s novými možnosťami, s bezpečnejším šifrovaním samotného symetrického kľúča, hlavne s podporou ochrany integrity dát a ďalšími technickými vylepšeniami.

cryptsetup 2 podporuje konkrétne nové algoritmy pre odvodzovanie kľúča z hesla, ktorým je zašifrovaný hlavný symetrický šifrovací kľúč. Cryptsetup a LUKS1 podporovali PBKDF v2, ktorý umožňoval relatívne rýchle skúšanie možností na GPU. Cryptsetup 2 tak prichádza s podporou Argon2i a Argon2id, ktoré vyžadujú veľké množstvo pamäti a nie sú efektívne implementovateľné na GPU.

Z LUKS1 je možné vo väčšine štandardných konfigurácií prejsť na LUKS2 formát a využiť výhody bezpečnejšieho generovania kľúča, táto operácia je ale nebezpečná a vyžaduje predtým odzálohovanie hlavičky.

Veľkou novinkou je podpora ochrany integrity dát, ktorá ich chráni a umožňuje detekovať chyby hardvéru aj zámernú zmenu dát. Útočník u doterajších šifrovaných diskov samozrejme nevedel zmeniť uložené dáta na aké chcel bez znalosti kľúča, mohol ich ale zmeniť respektíve poškodiť bez detekcie užívateľa.

S novou podporou integrity umožňuje cryptsetup 2 uchovávať ku každému sektoru aj doplňujúce autentifikačné dáta, kontrolnú sumu sektora a niektorých ďalších informácií. Tá sa overuje pri každom čítaní sektora a pokiaľ prišlo k zmene, je detekovaná. Útočník bez znalosti kľúčov respektíve hesla už nemôže dáta zmeniť, s výnimkou ich výmeny za staršiu legitímnu podobu toho istého sektora znovupoužitím získanej staršej verzie zašifrovaných dát.

Šifrovanie s ochranou integrity je implementované pomocou šifier typu AEAD, Authenticated Encryption with Additional Data, doplňujúce autentifikačné dáta sa uchovávajú pomocou modulu dm-integrity. Ten ich uchováva prekladane na disku, keď podľa ich veľkosti vyhradí každý n-tý sektor pre metadáta predchádzajúcich sektorov.

Ochrana integrity je podporovaná vo viacerých moderných súborových systémoch vrátane linuxového Btrfs, nie ale v hlavnom štandardnom používanom súborovom systéme ext4. Navyše podpora v univerzálnom cryptsetup pre šifrovanie ľubovoľného blokového zariadenia poskytuje flexibilnejšie možnosti, keď aj samotné šifrovanie sa môže a rozlične flexibilne kombinuje napríklad s RAID a LVM a úroveň a poradie kde sa aplikuje šifrovanie sa dá zvoliť.

Okrem týchto hlavných noviniek formát LUKS2 zlepšuje ochranu svojich metadát a cryptsetup 2 má aj viacero ďalších technických vylepšení.

Hoci cryptsetup 2 je novou stabilnou verziou, u všetkých hlavných noviniek upozorňujú autori že ešte môžu obsahovať chyby, dôrazne upozorňujú aby neboli používané bez záloh alebo na produkčných systémoch s potrebou kompatibility so staršími systémami a špeciálne podporu integrity označujú za zatiaľ experimentálnu.




Najnovšie články:



inzercia



Diskusia:

linux je shit Od: Erik_B | Pridané: 14.12.2017 5:18 este keby mi instalacia ubuntu 17.10 nebrickla BIOS v Lenovo y50-70 tak by tie linuxi boli celkom fajn. Za ten nie kratky cas co robim IT som este odjebany bios operacnym systemom nevidel. Musel sa fyzicky vymenit cely chip :/ Takze Linux uz odporucat nikomu jednoducho nemozem. PS: Mozte minuskovat :) Odpovedať Známka: -6.2 Hodnotiť:

Re: linux je hit Od: syntaxterrorX XX | Pridané: 14.12.2017 6:27 Nakolko experti vedia psychicky, odborna uroven dodavatela je priekazna. PS: Zato platnost povolenia bez elektronickeho podpisu je nepriekazna. Odpovedať Známka: -4.5 Hodnotiť:

Re: linux je shit Od: VincentZ | Pridané: 14.12.2017 6:39 Ten laptop mam aj ja a ma veru riadne vela problemov, od klaves, ktore sa polamu, ked sa na ne nepekne pozries, cez blbe odvadzanie tepla a u modelov so 4K obrazovkou priserne zobrazenie zltej farby. Ubuntu 17.10 na tom pouzivam a zatial mi BIOS drzi. Vedel by si okrem trapneho "linux je shit" povedat, co sa cca stalo? Odpovedať Známka: 6.6 Hodnotiť:

Re: linux je shit Od: Erikb | Pridané: 14.12.2017 8:10 Nainstaloval som si linux. To sa stalo. https:// bugs.launchpad.net/ ubuntu/+source/linux/+bug/1734147 Odpovedať Známka: 2.4 Hodnotiť:

Re: linux je shit Od: Linux fanboy | Pridané: 14.12.2017 9:03 To mas za to, ze si kupujes kokotiny. Odpovedať Známka: 5.7 Hodnotiť:

Re: linux je shit Od: sensei-san | Pridané: 14.12.2017 9:06 Zaujímavé čítanie. Niektorí ľudia tam naznačujú, že ten HW nerešpektuje EFI špecifikáciu. Podľa mňa je nešťastné, že BIOS sa nechá rozdrbať softwarovo, ale to nám priniesol "pokrok" ;-/ Odpovedať Známka: 9.1 Hodnotiť:

Re: linux je shit Od: janc1c1 | Pridané: 14.12.2017 15:41 dopice, na budúce by si mohol použiť dáky skracovač Odpovedať Známka: 2.5 Hodnotiť:

Re: linux je shit Od: Erikb | Pridané: 14.12.2017 19:30 Ja retard, to ma nenapadlo, prepac, dopice. Odpovedať Hodnotiť:

Re: linux je shit Od: Erikb | Pridané: 14.12.2017 8:13 Klavesy drzia, farby ok s FHD displejom. Chladenie katastrofa, cpu ide (od vyroby) len na zakladnom takte hned ako sa zapne grafika .. Odpovedať Známka: 1.4 Hodnotiť:

Analýza kořenových příčin Od: syntaxterrorX XX | Pridané: 14.12.2017 8:34 Strucne zhrnutie: Lenovo nie je Apple. Odpovedať Známka: 0.0 Hodnotiť:

Re: Analýza kořenových příčin Od: qwertyuiop1 | Pridané: 14.12.2017 15:25 To su Ideapady, nieco, co by mali pribalovat zadarmo k musli, nie predavat ako pocitace. Thinkpady su ale uplne ina kategoria, to uz su seriozne pocitace. Odpovedať Známka: 5.0 Hodnotiť:

Re: Analýza kořenových příčin Od: syntaxterrorX XX | Pridané: 14.12.2017 17:09 Pri ponuke vyhradne produktov rovnakej urovne kvality je ale moznost narusenia jej integrity susednou priekazne nulova. Odpovedať Známka: -3.3 Hodnotiť:

Re: linux je shit Od: VincentZ | Pridané: 14.12.2017 12:17 Dalsi problem, na ktory som natrafil - obcasne samovypnutie laptopu aj pod Win10 pri chode na baterku v okamihu vyssieho vytazenia GPU. Odpovedať Známka: 10.0 Hodnotiť:

Re: linux je shit Od: Rytmus is life bro | Pridané: 14.12.2017 8:08 ty brďo fakt? ja som minule inšaloval Win10 na moje Lenovo Y580 lebo som chcel upgradnuť z Win7 na ktorom mi občas šumel displej a musel som po tom jebnuť aby to prestalo a počas inštalatacie mi čosi začalo iskriť vnútri až mi z toho vzblkla grafika a z vetráku vyšľahli plamene až som musel bežať do tatkovho auta vytiahnuť taký malý 1kg hasičák a celé som to vystriekal ešte aj veci na stole som mal obhorené to bolo fakt v riti teda ešteže spolužiak je IT špecialista taký heker čo robí cracky na hry a tak prišiel mi to napájkovať nanovo novú grafiku tak som tam potom už Windows neskúšal dávať a prešiel som rovno na Arch linux a nemôžem si vynachváliť mám nižšiu spotrebu aj všetko aj vyššie fps mám v Sims 3 a CS1.6 ani som nemusel kupovať novy notebook na Vijanoce každopádne vám čo máte Win7 fakt neodporúčam Win10 to už radčej Vistu Odpovedať Známka: -0.3 Hodnotiť:

Re: linux je shit Od: Julius123 | Pridané: 14.12.2017 8:29 A mne MAC PC napadol vedla stojaci WIN PC a tak sa d.j.b.l. ze ich musel Linux PC z vedlajsej miestnosti ozivovat. Odpovedať Známka: 6.0 Hodnotiť:

Re: linux je shit Od: Menovec | Pridané: 14.12.2017 8:30 Ďalší nádejný "inžinier" sa tu prejavil... Isto je to to najdôležitejšie na svete, nejaké pridrbané hry a koľko je čoho snímkov za sekundu... Palček si už necumleš? Odpovedať Známka: -6.7 Hodnotiť:

Re: linux je shit Od: Hhhhhh | Pridané: 14.12.2017 8:34 Dorbrý matroš. RADČEJ to neber, lebo budú VIJANOCE na ho... Odpovedať Známka: 6.7 Hodnotiť:

Re: linux je shit Od: lal | Pridané: 14.12.2017 9:24 its_a_bait.jpg Odpovedať Hodnotiť:

Re: linux je shit Od: lal | Pridané: 14.12.2017 9:24 its_a_bait.jpg Odpovedať Hodnotiť:

Re: linux je shit Od: sdvdfbfdb | Pridané: 14.12.2017 9:22 sranda, brickovali sa blahej pamate este ibm thinkpady poniektore, ale to uz je nejaky rok, vyzera, ze sa vyrobcovia nepoucili Odpovedať Hodnotiť:

Re: linux je shit Od reg.: M.Miiicho | Pridané: 14.12.2017 10:54 lenovo y50? To tu asi niekto nečíta dopodrobna notebookcheck.net pred tým ako niečo kúpi :/ Odpovedať Známka: 10.0 Hodnotiť:

Re: linux je shit Od: VincentZ | Pridané: 14.12.2017 11:11 Priznam sa, necitam, no po hodeni ockom som si odtial odniesol dobry (klamlivy) dojem - 4 z 5 hviezdiciek. Odpovedať Známka: 10.0 Hodnotiť:

Re: linux je shit Od: Erikb | Pridané: 14.12.2017 19:32 Mal som nejaky budget obmedzeny zamestnavatelom. Za tie peniaze bol co do vykonu top. Odpovedať Hodnotiť:

Re: linux je shit Od reg.: M.Miiicho | Pridané: 14.12.2017 19:40 Jo aj ja som o tom rozmyslal, super HW na papieri. Ale nulova servisovatelnost/rozoberatelnost (co je dost dolezity faktor pri hi-perf notebookoch, kvoli zanasaniu sa prachom) z toho urobila pre mna nezaujimavy kus. V tomto ohlade radsej Clevo notebooky (komplet pristup k vnutornostiam po odsroubovani spodneho panelu, bez straty zaruky!!!). Odpovedať Známka: 10.0 Hodnotiť:

Re: linux je shit Od: qwertyuiop1 | Pridané: 14.12.2017 20:21 Za tie peniaze sa nedal nejaky HP ProBook, alebo aspon Thinkpad social edition? Osobne HP vobec nemusim, ale vyberat medzi Ideapadom a ProBookom, beriem ProBook. Alebo ukecam sefa, nech dohodi na Thinkpad alebo XPS. Odpovedať Hodnotiť:

Re: linux je shit Od: Erik_B | Pridané: 15.12.2017 0:20 Za tie peniaze fakt ziadny iny notebook s 4c/8t i7, 8gb ram, FHD a GTX860M nebol... Odpovedať Hodnotiť:

Re: linux je shit Od: qwertyuiop1 | Pridané: 15.12.2017 15:18 ach jaj... hracsky alebo prvy notebook? Pokial sa nehras hry na notebooku (co je blbost, tak maximalne na intrak), tak Nvidia nema absolutny zmysel. Skor je to nevyhoda, lebo Optimus len vyraba problemy s drivermi. Do pracovneho notebooku jedine Intel gpu. Zerie a hreje to vyrazne menej, ziadne problemy s drivermi, vykonovo to na pracu staci. 2c-4t mobilny i7/8GB/FHD/Intel HD by si v tej cene nasiel, dostal by si poriadne (pevne, odlahcene) sasi a normalnu zaruku k tomu. Osobne mam z tej doby T-ckovy thinkpad, ktory je i7/16GB/SSD/1600x900/Intel GPU/3G a stal cca 200 eciek viac. Odpovedať Hodnotiť:

Re: linux je shit Od: Erikb | Pridané: 16.12.2017 0:25 Mam to prave na hranie... kupila mi to firma, budget bol aky bol.. kedze v robote na nom robim a doma sa hram, tak proste toto vyslo najlepsie. Predtym som mal Z500 s gtx640m a ta masina je u brata a sluzi uz 5ty rok. Jasne ze iba na pracu su ine masiny, v druhej robote by som si ho predstavit nevedel. Tam mam superlahky a vykonny dell za 2k€. Ale nie je na hranie. Odpovedať Hodnotiť:

Re: linux je shit Od: reg.: Houston | Pridané: 14.12.2017 17:19 To ale nie je chyba Linuxu. EFI/UEFI "Bios" obsahuje "bootloader" a jednotlive OS mozu mat priamo v nastaveniach uEFI priamu cestu k OS loaderu. Preco sa to bezne nepouziva netusim, Windows zapise jednu cestu k svojmu BOOTMGR a jednotlive varianty riesi cez BCD databazu, hoci uplne to iste poskytuje aj u/EFI. Vsetky Linuxove loadery to tiez riesili podobne cez LILO a podobne. Ubuntu 17.10 to zacal konecne robit tak ako sa to "ma" a za to, ze sa na Lenove UEFI sam pokazi, ked mu povies aby si doplnil riadok do svojho boot zoznamu, UBUNTU URCITE NEMOZE! Co ale malo Ubuntu hned spravit, urobit novy obraz s varovanim, ked najdu danu verziu UEFI na pocitaci a ponukou pouzit legacy boot loader. Chyba je jednoznacne na strane Lenova a ich postoj je len dalsim dôvodom, preco Lenovo nekupovat. Odpovedať Známka: 10.0 Hodnotiť:

Re: linux je shit Od reg.: M.Miiicho | Pridané: 14.12.2017 19:37 Jo jo. Sem-tam sa od lenova objavi nejaky velmi zaujimavy hardver (napr. K920 a.k.a. Z2 Pro, Y50 ...) s velmo zaujimavym vykonom a cenou, ale tam to zvycajne konci. Ziadny zalsi support (K920) alebo prehrievajuci sa a neservisovatelny notebook (y50) - inak od lenova neviem ci vobec existuje nejaky normalne rozobratelny a vycistitelny notebook. Odpovedať Známka: 10.0 Hodnotiť:

Re: linux je shit Od: qwertyuiop1 | Pridané: 14.12.2017 20:22 Ano, existuje, Thinkpad :) K nim su aj servisne manualy volne stiahnutelne. Odpovedať Hodnotiť:

Re: linux je shit Od: partizann | Pridané: 15.12.2017 1:27 No mne toto iste urobil windows 10 pri update na Chuwi x86 tablete... Takze to nie je vysada linuxu. Objednaval som si potom koli tomu in circuit programator na winbond flash pamat biosu s redukciou na 1.8V chip (cca 16E). Ale aspon sa uz nemusim obavat zlyhaneho bios updatu ci uz na grafike alebo hociakej maticnej doske, kedze uz to viem na 99% zariadeni preprogramovat za 5 minut. Odpovedať Hodnotiť:

Pridať komentár