Versleuteling Tails onvoldoende tegen statelijke actor met fysieke toegang
De versleuteling die het op privacy gerichte besturingssysteem Tails jarenlang gebruikte is niet meer voldoende om bescherming te bieden tegen een statelijke actor met fysieke toegang tot de computer, zo laat het ontwikkelteam weten. In de nieuwste Tails-versie wordt daarom gebruikgemaakt LUKS2 en Argon2id in plaats van LUKS1 met PBKDF2.
Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart.
Wanneer Tails wordt uitgeschakeld zal alles wat de gebruiker heeft gedaan verdwijnen. Het is echter mogelijk om sommige bestanden, zoals documenten en bookmarks, en de configuratie, zoals wifi-wachtwoorden, in een versleutelde Persistent Storage op de Tails usb-stick op te slaan. Hiervoor maakt het besturingssysteem gebruik van de Linux Unified Key Setup (LUKS).
Wanneer een gebruiker toegang tot een versleuteld volume wil krijgen moet er een wachtwoord worden opgegeven. LUKS haalt dit wachtwoord door de Password-Based Key Derivation Function 2 (PBKDF2) wat een key oplevert, waarmee de versleutelde master key is te ontsleutelen. PBKDF2 is echter niet meer bestand tegen bruteforce-aanvallen, aldus de Tails-ontwikkelaars.
De benodigde rekenkracht voor het uitvoeren van een bruteforce-aanval tegen een versleuteld Tails-volume, dat met een passphrase van vier willekeurige woorden is beveiligd, zou in het geval van PBKDF2 slechts duizend dollar kosten. In het geval van Argon2id is dit een miljoen dollar. Tot en met Tails 5.12 werd gebruikgemaakt van LUKS met PBKDF2.
Om de sterkere encryptieparameters te gebruiken zal Tails 5.14 automatisch de Persistent Storage van gebruikers omzetten zodat er LUKS2 met Argon2id wordt gebruikt. Daarnaast wordt gebruikers aangeraden om de passphrase van hun Persistent Storage en andere via LUKS versleutelde volumes te wijzigen, tenzij ze gebruikmaken van een passphrase van vijf willekeurige woorden of meer.
Zit er nu echt een phone-home in een op privacy gericht OS?
Het probleem is dan de online helft weer te binnen te laden om zo weer een compleet versleutelde bestand(en) te krijgen.
Zit er nu echt een phone-home in een op privacy gericht OS?
Dat werkt anoniem via het Tor netwerk en het controleert om veiligheidsredenen of er nieuwe Tails versie is uitgebracht.
https://en.wikipedia.org/wiki/Shamir%27s_secret_sharing
Shamir's secret sharing (SSS) is een efficiënt algoritme voor het delen van geheime informatie (het "geheim") onder een groep zodat het geheim niet onthuld kan worden, tenzij een vooraf vastgesteld quorum van de groep samenwerkt om hun kennis te bundelen. Om dit te bereiken wordt het geheim wiskundig verdeeld in delen (de "shares"), van waaruit het geheim alleen opnieuw kan worden reconstrueerd als een voldoende aantal shares wordt gecombineerd.
Er is nog minder bestand tegen fysieke toegang tot de eigenaar van die host...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
