suns
system network data news bugtraq
sexy unix security project
data > Shifreeti diski uz OpenBSD, otraa dalja (0) 21.05.2006 19:33

OpenBSD mailing listees saakaas plashas diskusijas par svnd droshiibu peec tam, kad NetBSD developeris, kursh izstraadaaja CGD (Crypto-Graphic Disk system) intervijaa "Inside NetBSD's CGD" uz jautaajumu vai OpenBSD svnd jau nepiedaavaa taas pashas iespeejas, atbildeeja: "Lielaakais svnd miinuss ir taa droshiiba, jo tas ir ievainojams ar offline vaardniicas uzbrukumiem. Tas noziimee, ka var tikt izveidota datubaaze, kuraa ir samapoti zinaamie shifreeti teksta bloki diskaa pret paroli, taadaa veidaa tie ir pieejami bez pozicioneeshanas uz diska. Veel ljaunaak ir tas, ka taa pati datubaaze straadaas ar visiem svnd diskiem. Ir iespeejams - visdriizaak taa arii notiek - ka lielas agjentuuras kaa NSA ir uzkonstrueejushi shaadu datubaazi un var uzlaust vairumu pasaules svnd mazaak kaa sekundee. Veids, kaadaa tiek noveersti offline vaardniicu uzbrukumi, ir izmantot saltu savienojumaa ar paroli."

Ted Unangst, kursh kaadreiz straadaja pie NetBSD CGD porteshanas uz OpenBSD, pirms pusotra gada OpenBSD mailinglistee publiceeja patchu prieksh vnconfig, kursh ljauj salteet paroli ar 128 bitu saltu. Pirms divaam nedeeljaam tika publiceets jauns, paarstraadaats patchs, kursh ljauj izmantot arii iteraaciju skaitu, kas palielina resursus, kas nepiecieshami atsleegu gjenereeshanai no paroleem (ftp.rsasecurity.com/pub/pkcs/pkcs-5v2/pkcs5v2-0.pdf).

Jaapiebilst, ka shie patchi nav savstarpeeji savienojami, t.i., nevar tikt lietoti ar cita vnconfig veidotu svnd disku.

Ja veelamies izmeegjinaat vnconfig ar PKCS#5, bet neveelamies kompileeties, tad var izmantot vnconfig binaaro:
ftp.secure.lv/pub/unofficial-OpenBSD/3.9/patches/i386/000_vnconfig.tar.gz

Lai nokompileetu vnconfig ar PKCS#5 uz OpenBSD 3.9:

# cd /usr/src
# ftp -V ftp://ftp.secure.lv/pub/OpenBSD/3.9/src.tar.gz
# tar zxvf src.tar.gz
# cd /usr/src/usr.sbin/vnconfig/
# ftp -V http://secure.lv/~nikns/stuff/pkcs_vnconfig.diff
# patch -p0 < pkcs_vnconfig.diff
# make obj && make depend && make && make install

Lieto shaadi:

# vnconfig -cK 6666 /dev/svnd0c /home/crypt.img

..kur 6666 ir iteraaciju skaits. Iteraaciju skaitam buutu jaabuut lielaakam par 1000, lai buutiski ietekmeetu resursus (laiku), kas nepiecieshams paroles mineejumam. Peec paroles ievadiishanas tiks jautaats peec salt faila, ja salt fails netiks atrasts, tad tas tiks izveidots (noderiigi veidojot jaunus svnd diskus).

Taatad, lai buutu iespeeja tikt klat pie savas shifreetaas informaacijas, nedriikst pazaudeet salt failu, vai aizmirst iteraaciju skaitu vai paroli.

Cereesim, ka shis patchs driiz tiks commitots, un ieksh OpenBSD 4.0 jau buus lietojams bez patchoshanaas.

/ nikns - http://pazeme.lv/ /
add comment*
author:
email:
piecpadsmit:
comment:


* ja iztiksi bez spama, offtopika un muljkjiibaam, iespeejams, ka tavs koments netiks izdzeests.
« back

valid xhtmlvalid css