用于基于文件的文件系统加密的XTS与AES-CBC和ESSIV
在我最近读到的一篇名为"你不想要XTS“的博客文章中,作者解释了使用XTS加密文件系统的一些缺陷。具体来说,当基于文件的磁盘在XTS中加密时,他建议不要在Dropbox之类的服务上共享加密的基于文件的文件系统。
由于TrueCrypt提供了一种非常简单的方法来创建基于加密文件的文件系统,所以当我需要在拇指驱动器或互联网上传输文件系统时,我曾经使用它来保证安全。
在默认情况下,dm-crypt使用的是带有ESSIV的AES-CBC,而不是XTS,它是否与XTS中的TrueCrypt一样成为漏洞的牺牲品?
回答 1
Security用户
发布于 2014-07-28 18:23:27
对于XTS的批评是有意义的,因为攻击者可以观察到加密磁盘的连续版本(即攻击者偷取您的笔记本电脑,生成整个磁盘的映像,然后将膝上型计算机放回您的包中,而您没有注意到任何事情;他明天和后天再次这样做,等等)。使用XTS时,每个16字节块都由自己加密,因此攻击者可能会注意到同一加密块的两个连续版本(同一硬盘扇区内相同的16字节块)包含相同的数据。这可能允许使用交通分析。如果攻击者处于活动状态,那么他可以返回任何块的旧版本,并且可以独立地对所有块执行此操作。
使用CBC+ESSIV时,每个扇区都有自己的IV,因此我们的反复出现的攻击者可以注意到扇区的新版本何时以与以前版本相同的块序列开始。CBC是这样的,如果两个明文块在某一部门的某个点不同,则该部门的其余区块将发生分歧。从这个意义上说,与XTS相比,攻击者分析CBC+ESSIV流量的能力降低了。例如,如果给定扇区的两个版本对第13个块使用相同的明文值,这一点在XTS中是显而易见的,而在CBC中则不是这样(除非前面12个扇区的版本也没有变化)。
另一方面,主动攻击者通常更喜欢使用CBC,因为他可以随意更改块内的位(前提是他不介意用不可控制的随机垃圾替换以前的块)。
所以不,dm-crypt没有与TrueCrypt完全相同的漏洞。设想的场景(重复监听同一个磁盘,恶意更改.)不是全磁盘加密的主要目标;实际上,FDE是针对“被盗笔记本电脑”的情况,在这种情况下,你永远得不到它。这两种解决方案都不能很好地对付更勤奋的攻击者,但它们不会以完全相同的方式失败。
https://security.stackexchange.com/questions/64151
复制相似问题
腾讯云开发者
