Super: Some late-breaking News – und ich bin nicht da. Peters Mail verpasst mich um 02:27, in Neuseeland war’s 14:27, früher Nachmittag. Ob das Linux-Magazin schon in der Druckerei sei, will die Crypto-Ikone Peter Gutmann wissen, und ob sein Artikel über E-Crypt-FS drin ist (Seite 82). Denn “offenbar gibt es eine Schwäche im LRW-Verschlüsselungsmodus, den etliche Crypto-Dateisysteme verwenden”. E-Crypt-FS nutzt zwar kein LRW, trotzdem sei jetzt eine gute Gelegenheit, vor der Gefahr zu warnen. Recht hat er, da früher getestete Systeme sehr wohl mit LRW arbeiten.

Worum geht’s? Bei einer der Schwächen kann ein Angreifer die LRW-Justage ermitteln (Tweak, Teil des Schlüssels), wenn dieser Wert in einer verschlüsselten Partition liegt. So was Schräges passiert eventuell beim Swappen in ein Crypto-Swap-Device. Richtig eingesetzt gilt LRW dennoch als sicher. Auslöser für Peters Alarm war eine Mail von Matt Ball in einer IEEE-Mailingliste auf [http://grouper.ieee.org/groups/1619/email/msg00558.html].

Die Liste gehört zum SISWG-Gremium (Security in Storage Working Group), das am Crypto-Filesystem-Standard P1619 arbeitet [http://en.wikipedia.org/wiki/IEEE_P1619]. Die Mail datiert – jetzt reibe ich mir die Augen – vom 21. Dezember 2005. Ende Zweitausendfünf! Auf meine Frage, ob das noch als “News” durchgeht, geschweige denn “late breaking” sei, erklärt Peter trocken, dass in IEEE-Komitee-Maßstäben ein Jahr Reaktionszeit etwa Lichtgeschwindigkeit entspricht.

Nach dieser Zeitrechnung arbeitet Matt Ball mit doppeltem Warp-Tempo: Im August 2006 meldete er, dass Truecrypt LRW einsetzt, und vermutete anhand der Dokumentation, dass es anfällig sei [http://grouper.ieee.org/groups/1619/email/msg01141.html]. Das wäre eine schlimme Nachricht für Linux, schließlich hat Truecrypt beim Vergleichstest im Linux-Magazin 10/06 am besten abgeschnitten. Also fragt Peter nach und setzt mich auf CC. Zwischen Mittagessen, Meeting und Kämpfen mit dem Seitenplan die Antwort: Entwarnung, um 13:55 Uhr. Matt schreibt, dass die Truecrypt-Entwickler zwar LRW benutzen, aber auf sichere Weise.

Beim Lesen der Mail fällt mir ein, dass ein weiteres Linux-Crypto-Filesystem LRW verwendet: DM-Crypt in der LUKS-Variante. Deren Autor Clemens Fruhwirth hat davon im Linux-Magazin 12/05 berichtet. LRW gab es als Kernelpatch. Also heißt es für mich recherchieren, was daraus geworden ist. In der Projektdokumentation steht, dass Clemens LRW im Februar 2006 entfernte, weil kein Ende des SISWG-Standardisierungsprozesses abzusehen war [http://luks.endorphin.org/LUKS-on-disk-format.pdf]. Also wieder Entwarnung.

Vielleicht hat es sein Gutes, dass Gremien in ihrer eigenen
Zeitrechnung verharren. Die Realität überholt sie, bevor
sie einen schwächelnden Crypto-Modus festklopfen können.
Als Nachfolger ist XTS in der Diskussion [http://en.wikipedia.org/wiki/Disk_encryption_theory#XTS].
Der ähnelt LRW, ohne dessen Schwächen zu erben. XTS ist
allerdings erst drei Jahre alt, zu jung, um schon gründlich
geprüft zu sein.