Am Dienstag, den 15.11.2016, 12:08 +0100 schrieb Christian Knoke: > Moin, > > aus persönlichem Interesse, und weils Debian im besonderen betrifft, eine Bugtraq > Meldung über cryptsetup: > > http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html > > -->-->-- > If you use Debian or Ubuntu/ (probably many derived distributions are also > vulnerable, but we have not tested), and you have encrypted the system > partition, then your systems is vulnerable. > --<--<-- Das wusste ich schon vor einem Jahr als ich meinen Computer verschlüsselt habe und mir über Angriffsvektoren Gedanken machte. Wenn man einzelne Patitionen verschlüsselt kann ein Angreifer die Patitionstabelle lesen und erhält so Hinweise (Größe, Lage , Format) über die Aufteilung. Er kann sich dann auf den Teil konzentrieren der Ihm interessiert. Deshalb ist bei mir nicht die root-Partition, sondern die ganze Festplatte verschlüsselt. Auf der Platte gibt es keinen MBR, keine EFI-Partition und keine Partitionstabelle die jemand lesen könnte. Zum Boot benötigt man einen USB-Stick auf dem eine Kopie der boot-Partition und das Key-File für den LUKS-Container liegt. Nach dem aufsperren des LUKS-Container wird ein PV (LVM) sichtbar indem die LV's liegen (die normalerweise als Partitionen im MBR stehen). Sobald der LUKS-Container aufgesperrt ist, kann man den Stick bereits abziehen, da alle nötigen Sachen in der initramfs liegen die ja schon im RAM ist. Da ein LUKS-Container einen Header hat, ist dies die einzige Information die ein Angreifer bekommt und wieviele aktive Key-Slots vorhanden sind. Ohne dem USB-Stick meldet der Rechner 'no operating system found'. -- mfG Sascha Die gute alte Zeit ist nichts anderes als eine rückwärts datierte Utopie. -- Erich Wiesner
Attachment:
signature.asc
Description: This is a digitally signed message part