image

Versleuteling Tails onvoldoende tegen statelijke actor met fysieke toegang

woensdag 14 juni 2023, 12:48 door Redactie, 7 reacties

De versleuteling die het op privacy gerichte besturingssysteem Tails jarenlang gebruikte is niet meer voldoende om bescherming te bieden tegen een statelijke actor met fysieke toegang tot de computer, zo laat het ontwikkelteam weten. In de nieuwste Tails-versie wordt daarom gebruikgemaakt LUKS2 en Argon2id in plaats van LUKS1 met PBKDF2.

Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Het besturingssysteem, dat wordt aangeraden door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden, wordt tienduizenden keren per dag gestart.

Wanneer Tails wordt uitgeschakeld zal alles wat de gebruiker heeft gedaan verdwijnen. Het is echter mogelijk om sommige bestanden, zoals documenten en bookmarks, en de configuratie, zoals wifi-wachtwoorden, in een versleutelde Persistent Storage op de Tails usb-stick op te slaan. Hiervoor maakt het besturingssysteem gebruik van de Linux Unified Key Setup (LUKS).

Wanneer een gebruiker toegang tot een versleuteld volume wil krijgen moet er een wachtwoord worden opgegeven. LUKS haalt dit wachtwoord door de Password-Based Key Derivation Function 2 (PBKDF2) wat een key oplevert, waarmee de versleutelde master key is te ontsleutelen. PBKDF2 is echter niet meer bestand tegen bruteforce-aanvallen, aldus de Tails-ontwikkelaars.

De benodigde rekenkracht voor het uitvoeren van een bruteforce-aanval tegen een versleuteld Tails-volume, dat met een passphrase van vier willekeurige woorden is beveiligd, zou in het geval van PBKDF2 slechts duizend dollar kosten. In het geval van Argon2id is dit een miljoen dollar. Tot en met Tails 5.12 werd gebruikgemaakt van LUKS met PBKDF2.

Om de sterkere encryptieparameters te gebruiken zal Tails 5.14 automatisch de Persistent Storage van gebruikers omzetten zodat er LUKS2 met Argon2id wordt gebruikt. Daarnaast wordt gebruikers aangeraden om de passphrase van hun Persistent Storage en andere via LUKS versleutelde volumes te wijzigen, tenzij ze gebruikmaken van een passphrase van vijf willekeurige woorden of meer.

Image

Reacties (7)
14-06-2023, 12:50 door Anoniem
Er is niet veel bestand tegen fysieke toegang tot de host.. logisch toch
14-06-2023, 15:23 door Anoniem
wordt tienduizenden keren per dag gestart.

Zit er nu echt een phone-home in een op privacy gericht OS?
14-06-2023, 15:30 door Anoniem
Als nu na encryptie de helf op de stick wordt opgeslagen en andere helft op het internet.

Het probleem is dan de online helft weer te binnen te laden om zo weer een compleet versleutelde bestand(en) te krijgen.
14-06-2023, 15:46 door Anoniem
Door Anoniem:
wordt tienduizenden keren per dag gestart.

Zit er nu echt een phone-home in een op privacy gericht OS?

Dat werkt anoniem via het Tor netwerk en het controleert om veiligheidsredenen of er nieuwe Tails versie is uitgebracht.
14-06-2023, 16:04 door Anoniem
Door Anoniem: Als nu na encryptie de helf op de stick wordt opgeslagen en andere helft op het internet?

https://en.wikipedia.org/wiki/Shamir%27s_secret_sharing

Shamir's secret sharing (SSS) is een efficiënt algoritme voor het delen van geheime informatie (het "geheim") onder een groep zodat het geheim niet onthuld kan worden, tenzij een vooraf vastgesteld quorum van de groep samenwerkt om hun kennis te bundelen. Om dit te bereiken wordt het geheim wiskundig verdeeld in delen (de "shares"), van waaruit het geheim alleen opnieuw kan worden reconstrueerd als een voldoende aantal shares wordt gecombineerd.
14-06-2023, 18:18 door johanw
Door Anoniem: Er is niet veel bestand tegen fysieke toegang tot de host.. logisch toch

Er is nog minder bestand tegen fysieke toegang tot de eigenaar van die host...
15-06-2023, 09:02 door Anoniem
Door Anoniem:
wordt tienduizenden keren per dag gestart.

Zit er nu echt een phone-home in een op privacy gericht OS?
Nav check op updates?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.