Wer den Inhalt seiner Festplatten vor Dieben oder dem kontrollsüchtigen Chef verbergen will, braucht Verschlüsselungssoftware. Linux hat kürzlich auf diesem Gebiet viel dazugelernt: DM-Crypt und Cryptsetup-LUKS sind die neuen Meister im Hüten von Geheimnissen.

Datenretter ausgetrickst

Als Lösung hat der LUKS-Autor ein Verfahren namens Anti-Forensic Information Splitting entwickelt (AF-Splitter). Um die statistische Chance zu minimieren, dass Spuren von gelöschten Daten auf magnetischen Speichermedien überleben, bläht der AF-Splitter diese Daten auf das Viertausendfache auf. Die aufgeblasene Information ist nicht redundant, es ist immer der komplette Datensatz nötig, um den Master-Key zu bestimmen. Diese Umkehrfunktion zum Information Splitting heißt Merging. Es fügt die Originaldaten im Speicher wieder zusammen - dort ist die Datenvernichtung problemlos möglich.

Abbildung 4: Der ECB-Verschlüsselungsmodus (Electronic Code Book) chiffriert jeden Klartextblock unabhängig von allen anderen. Daraus folgt, dass gleiche Eingaben Pi in die Verschlüsselungsfunktion E zu identischen Ausgaben Ci führen.

AF-Splitter verteilt die Originaldaten (Variable x) gemäß der Gleichung x = a1 + a2 + a3 + ... + a4000. Die Variablen a1 bis a3999 generiert der Algorithmus zufällig und berechnet a4000 so, dass die Gleichung erfüllt ist. Der Merger addiert alle Element ai. Dazu braucht er jedes einzelne Element, es gibt keine Redundanz. Fehlt ein Element wird die Gleichung unterbestimmt und x ist nicht zu berechnen.

Zur Vernichtung genügt es, einen einzigen der 4000 beteiligten Sektoren erfolgreich zu überschreiben, da der Merging-Prozess den gesamten aufgeblähten Datensatz benötigt. Einen beliebigen Sektor von 4000 zu vernichten fällt wesentlich leichter, frei nach dem Motto "Einen werde ich schon erwischen". Dass dies statistisch sehr gut klappt, ist in [1] nachzulesen. Dank AF-Splitter gelingt es, Passwörter zu ändern, ohne verwertbare Spuren zu hinterlassen. Zusammen mit Schlüsselhierarchien und PBKDF2 ergibt sich ein hochwertiges Passwortmanagement für DM-Crypt-Partitionen.

Abbildung 5: Der CBC-Modus (Cipher Block Chaining) bezieht das Chiffrat einer Stufe in die folgende Berechnung mit ein (XOR-Operation). Damit stellt dieser Betriebsmodus sicher, dass gleiche Klartextblöcke unterschiedlich verschlüsselt werden.

Sichere Datenhaltung

Die Kernaufgabe verschlüsselter Festplatten bleibt das Verschlüsseln. DM-Crypt beherrscht derzeit zwei Cipher-Modi, ECB (Electronic Code Book) und CBC (Cipher Block Chaining). Beide leiden unter Sicherheitsproblemen, die der gegenwärtig aussichtsreichste Kandidat LRW-AES ([6], [7]) löst (LRW: Liskov, Rivest, Wagner; AES: Advanced Encryption Standard).

ECB (Abbildung 4) trägt die Bezeichnung Cipher-Modus eigentlich zu Unrecht: Er speichert jedes Einzelergebnis der Blockchiffre ohne weitere Berechnungen. Daraus folgt zwingend, dass bei gleichem Schlüssel jeder Klartext zu einem identischen Chiffrat führt. Mathematisch ausgedrückt ist ECB eine bijektive Funktion von Klartext in die Chiffretext-Domäne. Diese Eigenschaft ist gefährlich, wenn ein Angreifer den Klartext zu einem verschlüsselten Block kennt, zum Beispiel aufgrund genormter Filesystem-Header.

ESSIV

Mit einem digitalen Wasserzeichen markieren Angreifer einen Text, den sie später in einem verschlüsselten Datenblock wiedererkennen wollen. Der Angreifer muss dazu zwei idente Sektoren auf der Platte erzeugen. Sein Ziel ist, die Verschlüsselung so zu manipulieren, dass die gespeicherten Verschlüsselungsergebnisse von zwei Sektoren gleich lauten. In Abbildung 5 ist zu erkennen, dass der Angreifer alle Eingabewerte Pi bestimmen kann, nur nicht den IV. Dieser Wert modifiziert den ersten Klartext, siehe Abbildung 6a. Watermarking verhindern dies, indem es den zweiten Sektor mit P1-1 statt P1 verwendet. Der IV des zweiten Sektors ist um 1 höher als der IV des ersten. Diese Erhöhung lässt sich durch die Subtraktion von 1 in P1 kompensieren (Abbildung 6b). Setzt der Angreifer alle weiteren Pi wie beim ersten Sektor, dann sind deren Chiffretexte komplett gleich. Abbildung 6a: CBC startet die Verschlüsselung mit einer XOR-Verknüpfung von IV und P1. Abbildung 6b: Watermarking kompensiert die Änderung des IV durch ein angepasstes P1. ESSIV (Encrypted Salt-Sector IV) behebt das Problem. Es schickt die Sektornummer in eine Funktion, deren Ergebnis von der Nummer und vom geheimen Schlüssel abhängt (Abbildung 6c). Der Angreifer kann P1 im zweiten Sektor nicht mehr so gestalten, dass er die IV-Differenzen kompensiert. Ihm fehlt der Schlüssel K, um die beiden IVs zu berechnen. Abbildung 6c: Bei ESSIV kann der Angreifer den IV nicht berechnen, da er das geheime Schlüsselmaterial K nicht kennt.

Abbildung 7: Der LRW-Verschlüsselungsmodus kommt ohne Rekursion aus. Er verhindert die Vergleichsattacke im Stil von ECB (Abbildung 4) durch die Addition eines Whitening. Das Whitening berechnet sich aus der Position n auf der Festplatte und dem geheimen Schlüssel K.

Weiß der Angreifer, dass der erste Sektor der verschlüsselten Partition mit einer Serie von Nullen beginnt, so weiß er auch, an welchen anderen Stellen nur Nullen verschlüsselt sind. Er braucht dazu keinen Schlüssel, er vergleicht einfach alle Chiffretext-Blöcke mit dem Partitionsanfang. Hat er einen gleichen Block gefunden, so erfährt er, dass der entschlüsselte Inhalt an dieser Plattenposition auch aus Nullen besteht. Gleiches gilt für jeden anderen Klartextblock.

Wer den Inhalt seiner Festplatten vor Dieben oder dem kontrollsüchtigen Chef verbergen will, braucht Verschlüsselungssoftware. Linux hat kürzlich auf diesem Gebiet viel dazugelernt: DM-Crypt und Cryptsetup-LUKS sind die neuen Meister im Hüten von Geheimnissen.