Ein Entwickler der Firma Turbocrypt berichtet von einem "neuen Angriff" auf verschlüsselte Festplattan; mit Hilfe der von ihm "comparison attack" getauften Methode könne man beim Vergleich einer Platte mit einem Backup ohne Kenntnis des Schlüssels Rückschlüsse auf die Daten ziehen. In einem Beispiel für den Angriff führt er vor, wie durch das Überlagern von zwei verschlüsselten (unkomprimierten) Schwarzweiß-Bitmaps das Orginalmotiv schemenhaft wieder sichtbar wird.

Der Grund für das Phänomen liegt im verwendeten Modus, mit dem die Daten verschlüsselt werden. Pro Verwaltungseinheit (z.B. sektorweise) generiert die Verschlüsselungssoftware eine Variation des Disk-Schlüssels, so daß identische Daten, die an verschiedenen Stellen stehen, nicht erkennbar sind (siehe ECB-Beispiel in der Wikipedia). Bei der Veränderung einer Datei werden jedoch (je nach Dateisystem) die Daten "in place" geändert; vergleicht man also zwei identische Stellen einer verschlüsselten Platte mit einem (älteren) verschlüsselten 1:1-Image, kann man versuchen, aus den Differenzen Rückschlüsse auf die Daten zu ziehen.

Im Beispiel der Webseite (der Sourcecode befindet sich in diesem PDF-Dokument) verwenden die Autoren zur Demonstration ECB im Counter-Mode, d.h., der Schlüssel wird je Block um 1 inkrementiert (genaugenommen verändern sie im Source nicht den Schlüssel, sondern die Daten; das sollte dem Prinzip hier aber keinen Abbruch tun). Obendrein implementiert der Beispielscode eine spezialisierte Verschlüsselung, bei der das Bild nicht Byte für Byte, sondern grafisch geordnet 4x4 Pixel große Bereiche verschlüsselt. Es ist offensichtlich, daß es hier zu einer Musterbildung kommen muß. Die Webseite behauptet, daß dasselbe Verfahren auch auf eine ganze Reihe von anderen Modi (GCM, LRW, XEX, XTS, CBC-Varianten) anwendbar ist - ich konnte das auf Anhieb nicht nachvollziehen, und das "Paper" bleibt eine Erläuterung ebenfalls schuldig. Der Angriff durch Vergleich mehrerer Versionen von Daten, die mit demselben Schlüssel chiffriert wurden, ist jedenfalls nichts neues (siehe im Wikipedia-Artikel im Abschnitt "simple approaches").

Allgemein kann man sagen, daß das Wiederverwenden von Schlüsselmaterial wenn möglich zu vermeiden ist. Unter Linux mit LUKS läßt sich das Problem der Plattenimages sehr einfach vermeiden: Der vom Benutzer verwendete Schlüssel wird nur dazu benutzt, den tatsächlichen Disk Key zu entschlüsseln - jede verschlüsselte LUKS-Partition hat also de facto einen veränderten Schlüssel. Will man nun ein Plattenimage anlegen, sollte man eben nicht das Plattendevice duplizieren, sondern auf der Backup-Platte ebenfalls einen LUKS-Container anlegen (ruhig mit demselben Passwort - der Disk Key wird sich trotzdem unterscheiden), und anschließend die beiden geöffneten LUKS-Container lesen bzw. schreiben (also z.B. von /dev/mapper/luks-src nach /dev/mapper/luks-backup anstatt von /dev/sda1 nach /dev/sdf1).

(via Slashdot)