Existe-t-il des vulnérabilités connues à la fonction de chiffrement complet du disque d'Ubuntu?

Existe-t-il des vulnérabilités connues à la fonction de chiffrement complet du disque d'Ubuntu?

J'ai certains périphériques de stockage (clé USB et quelques disques durs externes utilisés pour les sauvegardes) que j'utilise avec un cryptage complet du disque, de sorte que s'ils sont perdus ou volés, mes données ne peuvent pas être récupérées. Est-ce un faux sentiment de sécurité?

Si quelqu'un devait obtenir un lecteur crypté, serait-il possible pour lui de briser le cryptage, et si oui, combien de temps cela prendrait-il?

EDIT: Pour clarifier, je ne pose que des questions sur les lecteurs non amorçables. Je suis conscient des vulnérabilités des lecteurs chiffrés qui sont toujours utilisés pour démarrer le système d'exploitation.

Il n'y a aucune vulnérabilité actuellement connue dans le cryptage dans Ubuntu 11.10. Il y en a eu. Généralement, les vulnérabilités ecryptfs impliquaient un attaquant déjà connecté à votre système qui pourrait provoquer un déni de service. Il y avait un problème LUKS dans lequel les utilisateurs étaient surpris qu'une simple option de configuration dans un outil de partitionnement puisse détruire complètement et définitivement une partition.

Dans environ 5 * 10 ^ 9 ans, nous nous attendons à ce que cette planète soit engloutie par le soleil en expansion. Le chiffrement AES-256 peut très probablement résister à une attaque aussi longtemps. Cependant, comme vous semblez le savoir, il existe de nombreuses autres faiblesses potentielles et elles méritent d'être répétées.

Serez-vous que vous avez chiffré le disque efficacement? C'est compliqué. Les personnes réfléchies ne s'entendent pas sur les options d'installation qui sont suffisamment efficaces. Saviez-vous que vous êtes censé installer le chiffrement complet du disque à partir du CD d'installation alternatif d'Ubuntu en utilisant LUKS, pas ecryptfs? Saviez-vous que LUKS a stocké la phrase secrète dans la RAM en texte brut, ou qu'une fois qu'un fichier est déverrouillé par un utilisateur via ecryptfs, ecryptfs ne le protège plus d'aucun autre utilisateur? Votre disque a-t-il déjà été connecté à un système qui permettait de connecter un stockage non chiffré, plutôt que de définir une stratégie SELinux explicite pour l'interdire? Où avez-vous conservé vos sauvegardes de votre disque crypté? Vous avez fait des sauvegardes parce que vous saviez que les disques chiffrés sont beaucoup plus sensibles aux erreurs normales, non?

Êtes-vous sûr que votre phrase secrète ne figure pas parmi les milliards de dollars (plus comme des milliards de dollars, ou quoi que ce soit maintenant) de possibilités qui pourraient être devinées? La personne qui tente de décrypter votre disque est-elle vraiment un étranger aléatoire, mal motivé et financé, sans ressources? Êtes-vous sûr que votre phrase secrète n'aurait pas pu être obtenue par falsification de logiciels (attaque "evil maid"), observation du système en cours d'exécution (attaques "épaule surfante", "sac noir" ou "démarrage à froid"), etc.? Dans quelle mesure avez-vous évité les attaques que tout le monde obtient: virus de messagerie et de téléchargement, JavaScript malveillant, phishing?

À quel point êtes-vous déterminé à garder votre phrase secrète secrète? Dans quelles juridictions serez-vous? Seriez-vous content d'aller en prison? Y a-t-il d'autres personnes qui connaissent les secrets protégés par le chiffrement de votre disque? Voulez-vous payer le prix de vos secrets même si ces personnes les révèlent?