Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

LUKS1 mit PBKDF2 ernsthaft unsicher?

10 views
Skip to first unread message

Marco Moock

unread,
Apr 20, 2023, 4:57:26 AM4/20/23
to
Hallo zusammen!

Ich habe https://mjg59.dreamwidth.org/66429.html gelesen.

Anscheinend nutzt Debian Sid auch noch LUKS1 mit PBKDF2 als Standard
bei der Installation.

Das soll aber mit GPUs recht leicht zu knacken sein. Weiß wer mehr über
den Aufwand?

Man kann das Verfahren umstellen, scheinbar ist das aber noch lange
nicht Standard bei den GNU/Linux-Distributionen.

Die Frage ist, ob man als ONU, der seine Daten vor Einbrechern, Dieben,
neugierigen Kollegen und Gelegenheitsfindern von HDDs schützen will,
aktiv werden sollte.

--
Gruß
Marco Moock

Marc Haber

unread,
Apr 23, 2023, 2:44:06 PM4/23/23
to
Marco Moock <mo...@posteo.de> wrote:
>Die Frage ist, ob man als ONU, der seine Daten vor Einbrechern, Dieben,
>neugierigen Kollegen und Gelegenheitsfindern von HDDs schützen will,
>aktiv werden sollte.

Die Umstellung erscheint mir jetzt nicht wie Raketenwissenschaft.
Warum zögerst Du?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Marco Moock

unread,
Apr 23, 2023, 3:00:19 PM4/23/23
to
Am 23.04.2023 um 20:44:03 Uhr schrieb Marc Haber:

> Die Umstellung erscheint mir jetzt nicht wie Raketenwissenschaft.
> Warum zögerst Du?

Weil mich interessiert, ob das ein ernstes Problem ist und ich das
daher auf ALLEN Datenträgern machen muss oder ob das nur ein kleines
Problem ist, was unter bestimmten Umständen ein Problem ist.

Ich plane die Umstellung, aber habe es bisher noch nicht getan (aus
Angst, es geht was fritte).

Gerrit Heitsch

unread,
Apr 23, 2023, 3:20:17 PM4/23/23
to
On 4/23/23 21:00, Marco Moock wrote:
> Am 23.04.2023 um 20:44:03 Uhr schrieb Marc Haber:
>
>> Die Umstellung erscheint mir jetzt nicht wie Raketenwissenschaft.
>> Warum zögerst Du?
>
> Weil mich interessiert, ob das ein ernstes Problem ist und ich das
> daher auf ALLEN Datenträgern machen muss oder ob das nur ein kleines
> Problem ist, was unter bestimmten Umständen ein Problem ist.

Die Kommentare unter dem Artikel implizieren, daß es da ein
Opsec-Problem gegeben haben muss wenn seine Passphrase wirklich über 20
Zeichen lang war.

Vielleicht hat sich jemand den Laptop 'kurz' ausgeliehen und ihm eine
neue initrd untergeschoben die die eingegebene Passphrase nicht nur brav
zum Unlocking benutzt sondern auch an unverschlüsselter Stelle abspeichert.

Gerrit


Marco Moock

unread,
Apr 23, 2023, 3:32:38 PM4/23/23
to
Am 23.04.2023 um 21:20:15 Uhr schrieb Gerrit Heitsch:

> Vielleicht hat sich jemand den Laptop 'kurz' ausgeliehen und ihm eine
> neue initrd untergeschoben die die eingegebene Passphrase nicht nur
> brav zum Unlocking benutzt sondern auch an unverschlüsselter Stelle
> abspeichert.

Dagegen wäre ja das neue Verfahren auch nicht sicher - ebenso nicht
gegen Angriffe auf die meist unverschlüsselte boot-partition (/boot)
oder den Bootloader GRUB2.

Gerrit Heitsch

unread,
Apr 23, 2023, 3:43:28 PM4/23/23
to
Ja, dagegen hilft nur die Integrität der initrd (und anderer
interessanter Dateien) und des Bootloaders bei jedem Boot zu prüfen. Via
script/programm welches im verschlüsselten Teil liegt und wenn der Test
fehlschlägt diskret Alarm zu schlagen. Muss du dann natürlich nach jedem
Systemupdate welches eine neue initrd erzeugt neu kalibrieren.

Gerrit


Marco Moock

unread,
May 6, 2023, 1:20:38 AM5/6/23
to
Am 20.04.2023 10:57 schrieb Marco Moock:

> Das soll aber mit GPUs recht leicht zu knacken sein. Weiß wer mehr
> über den Aufwand?

Hier gibt es einen deutschen Artikel zum Thema, der ebenfalls zweifel
daran hat, dass ausschließlich der Algorithmus ausschlaggebend war.

https://www.systemli.org/2023/04/30/ist-die-linux-festplattenshyverschl%C3%BCsselung-geknackt/

0 new messages