Neuer Angriff auf Festplattenverschlüsselung?

Ein Ent­wick­ler der Firma Tur­bocrypt be­rich­tet von einem "neuen An­griff" auf ver­schlüs­sel­te Fest­platt­an; mit Hilfe der von ihm "com­pa­ri­son at­tack" ge­tauf­ten Me­tho­de könne man beim Ver­gleich einer Plat­te mit einem Back­up ohne Kennt­nis des Schlüs­sels Rück­schlüs­se auf die Daten zie­hen. In einem Bei­spiel für den An­griff führt er vor, wie durch das Über­la­gern von zwei ver­schlüs­sel­ten (un­kom­pri­mier­ten) Schwarz­weiß-Bit­maps das Or­gi­nal­mo­tiv sche­men­haft wie­der sicht­bar wird.

Der Grund für das Phä­no­men liegt im ver­wen­de­ten Modus, mit dem die Daten ver­schlüs­selt wer­den. Pro Ver­wal­tungs­ein­heit (z.B. sek­tor­wei­se) ge­ne­riert die Ver­schlüs­se­lungs­soft­ware eine Va­ria­ti­on des Disk-Schlüs­sels, so daß iden­ti­sche Daten, die an ver­schie­de­nen Stel­len ste­hen, nicht er­kenn­bar sind (siehe ECB-Bei­spiel in der Wi­ki­pe­dia). Bei der Ver­än­de­rung einer Datei wer­den je­doch (je nach Da­tei­sys­tem) die Daten "in place" ge­än­dert; ver­gleicht man also zwei iden­ti­sche Stel­len einer ver­schlüs­sel­ten Plat­te mit einem (äl­te­ren) ver­schlüs­sel­ten 1:1-Image, kann man ver­su­chen, aus den Dif­fe­ren­zen Rück­schlüs­se auf die Daten zu zie­hen.

Im Bei­spiel der Web­sei­te (der Source­code be­fin­det sich in die­sem PDF-Do­ku­ment) ver­wen­den die Au­to­ren zur De­mons­tra­ti­on ECB im Coun­ter-Mo­de, d.h., der Schlüs­sel wird je Block um 1 in­kre­men­tiert (ge­nau­ge­nom­men ver­än­dern sie im Sour­ce nicht den Schlüs­sel, son­dern die Daten; das soll­te dem Prin­zip hier aber kei­nen Ab­bruch tun). Oben­drein im­ple­men­tiert der Bei­spiels­code eine spe­zia­li­sier­te Ver­schlüs­se­lung, bei der das Bild nicht Byte für Byte, son­dern gra­fisch ge­ord­net 4x4 Pixel große Be­rei­che ver­schlüs­selt. Es ist of­fen­sicht­lich, daß es hier zu einer Mus­ter­bil­dung kom­men muß. Die Web­sei­te be­haup­tet, daß das­sel­be Ver­fah­ren auch auf eine ganze Reihe von an­de­ren Modi (GCM, LRW, XEX, XTS, CBC-Va­ri­an­ten) an­wend­bar ist - ich konn­te das auf An­hieb nicht nach­voll­zie­hen, und das "Paper" bleibt eine Er­läu­te­rung eben­falls schul­dig. Der An­griff durch Ver­gleich meh­re­rer Ver­sio­nen von Daten, die mit dem­sel­ben Schlüs­sel chif­friert wur­den, ist je­den­falls nichts neues (siehe im Wi­ki­pe­dia-Ar­ti­kel im Ab­schnitt "sim­ple ap­proa­ches").

All­ge­mein kann man sagen, daß das Wie­der­ver­wen­den von Schlüs­sel­ma­te­ri­al wenn mög­lich zu ver­mei­den ist. Unter Linux mit LUKS läßt sich das Pro­blem der Plat­ten­images sehr ein­fach ver­mei­den: Der vom Be­nut­zer ver­wen­de­te Schlüs­sel wird nur dazu be­nutzt, den tat­säch­li­chen Disk Key zu ent­schlüs­seln - jede ver­schlüs­sel­te LUKS-Par­ti­ti­on hat also de facto einen ver­än­der­ten Schlüs­sel. Will man nun ein Plat­ten­image an­le­gen, soll­te man eben nicht das Plat­ten­de­vice du­pli­zie­ren, son­dern auf der Back­up-Plat­te eben­falls einen LUKS-Con­tai­ner an­le­gen (ruhig mit dem­sel­ben Pass­wort - der Disk Key wird sich trotz­dem un­ter­schei­den), und an­schlie­ßend die bei­den ge­öff­ne­ten LUKS-Con­tai­ner lesen bzw. schrei­ben (also z.B. von /dev/map­per/luks-src nach /dev/map­per/luks-back­up an­statt von /dev/sda1 nach /dev/sdf1).

(via Slash­dot)