LUKS / dm-侵入時の暗号化セキュリティ
これは私がしばらく混乱している暗号化のトピックです。 LUKSについて私が理解していることから、パスフレーズを使用してLUKSボリュームを開き、結果のデバイスマッパーデバイスをマウントすると、実際のディスク上のフォーマットで、閉じたりマウントを解除したりするまで、読み取りと書き込みを行うことができます。データの一部は暗号化された形式です。
LUKSボリュームが開かれ、マウントされているときにサーバーの侵入が発生したとしましょう。これにより、rootアカウントのパスワードが侵害され、SSHによって侵入されました。これで、攻撃者はデバイスへの完全な読み取り/書き込みアクセス権を持ちます。
これをeCryptfsなどのファイルベースの暗号化システムと比較してください。ルートアカウントの侵害が発生し、機密データがたとえば/ home/secure(eCryptfsを使用して暗号化されている)に保存されている場合、/ home/secureディレクトリは単純ではないため、攻撃者はこれにアクセスできません。 LUKSの場合のように、パスフレーズで「ロック解除」されます。
私はここで何かを完全に誤解しましたか? LUKSに関する豊富な情報から調査を行ったと思いますが、LUKSボリュームがマウントされたときの侵入の影響についての議論は見つかりませんでした。与えられた洞察や説明に感謝します!
DM-Crypt、Bitlocker、Truecryptなどのフルディスク暗号化システムは、主にオフラインの物理攻撃に対するセキュリティに重点を置いています。強力なキー/フレーズを使用して、物理的に盗まれた後にドライブ/コンピューターが復号化されるのを防ぎます。これらは、OSに対する攻撃からの保護をほとんどまたはまったく提供しません。 OSが実行されていて、特権アカウントが侵害された場合、攻撃者は基本的に、特権アカウントがアクセスできるすべての情報に完全にアクセスできます。
ECryptfsのようなオンデマンドのファイルベースの暗号化ツールは、いくつかの追加の保護を提供しますが、これでも絶対確実ではありません。攻撃者がシステムを侵害し、ファイルの暗号化を解除するためにパスワードを提供すると、攻撃者がパスワードを取得できる可能性があります。ファイルが暗号化されていない状態ですでに開かれている場合は、ファイルにアクセスできる可能性があります。
したがって、基本的に、暗号化は強力なセキュリティの単一層であることを理解する必要があります。それは完全な解決策ではありません。また、オペレーティングシステムを強化し、侵入から保護する必要があります。本当に重要なデータをできるだけ短い時間で復号化するための手順を実行する必要があります。セキュリティはレイヤーで行う必要があります。
ECryptFSの仕組みについて混乱するかもしれません。暗号化されたファイルを含むディレクトリが別のディレクトリにマウントされます。このプロセスでは、パスフレーズが必要です。そして、この2番目のディレクトリで、クリアテキストのファイルにアクセスできます。
LUKSはブロックデバイスで動作し、eCryptFSはファイルで動作しますが、両方がマウントされるため、そのためのパスフレーズ(またはパスファイル)が必要です。したがって、脅威モデルでは、LUKS/dm-cryptとeCryptFSのセキュリティに違いはありません。