LUKS2021 (Linux Unified Key Setup) ආකෘතියේ පාර-දත්ත වෙනස් කිරීම මඟින් කොටස් මත සංකේතනය අක්රිය කිරීමට ඉඩ සලසන Linux හි තැටි කොටස් සංකේතනය කිරීමට භාවිතා කරන Cryptsetup පැකේජයේ අවදානමක් (CVE-4122-2) හඳුනාගෙන ඇත. අවදානම ප්රයෝජනයට ගැනීමට, ප්රහාරකයාට සංකේතාත්මක මාධ්ය වෙත භෞතික ප්රවේශය තිබිය යුතුය, i.e. ප්රහාරකයාට ප්රවේශය ඇති නමුත් දත්ත විකේතනය කිරීමට මුරපදය නොදන්නා ෆ්ලෑෂ් ඩ්රයිව් වැනි සංකේතාත්මක බාහිර ගබඩා උපාංගවලට පහර දීම සඳහා ක්රමය ප්රධාන වශයෙන් අර්ථවත් කරයි.
ප්රහාරය අදාළ වන්නේ LUKS2 ආකෘතියට පමණක් වන අතර, ප්රවේශ යතුර වෙනස් කිරීමට අවශ්ය නම්, පියාසර කරන විට දත්ත නැවත සංකේතනය කිරීමේ ක්රියාවලිය ආරම්භ කිරීමට ඉඩ සලසන “මාර්ගගත නැවත සංකේතනය” දිගුව සක්රිය කිරීම සඳහා වගකිව යුතු පාර-දත්ත හැසිරවීම සමඟ සම්බන්ධ වේ. කොටස සමඟ වැඩ නතර නොකර. නව යතුරක් සමඟ විකේතනය සහ සංකේතනය කිරීමේ ක්රියාවලියට බොහෝ කාලයක් ගත වන බැවින්, “මාර්ගගත නැවත සංකේතනය” මඟින් කොටස සමඟ වැඩට බාධා නොකිරීමට සහ පසුබිමේ නැවත සංකේතනය කිරීමට හැකි වේ, ක්රමයෙන් දත්ත එක් යතුරකින් තවත් යතුරකට සංකේතනය කරයි. . හිස් ඉලක්ක යතුරක් තෝරා ගැනීමට ද හැකි ය, එමඟින් කොටස විකේතනය කළ ආකෘතියක් බවට පරිවර්තනය කිරීමට ඔබට ඉඩ සලසයි.
ප්රහාරකයෙකුට LUKS2 පාර-දත්ත වෙත වෙනස්කම් සිදු කළ හැකි අතර එය අසාර්ථක වීමේ ප්රතිඵලයක් ලෙස විකේතන ක්රියාවේ ගබ්සාවක් අනුකරණය කරයි සහ හිමිකරු විසින් වෙනස් කරන ලද ධාවකය සක්රිය කර භාවිතා කිරීමෙන් පසු කොටසේ කොටසක් විකේතනය කළ හැකිය. මෙම අවස්ථාවෙහිදී, නවීකරණය කරන ලද ධාවකය සම්බන්ධ කර නිවැරදි මුරපදයකින් එය අගුළු හරින ලද පරිශීලකයාට බාධා කළ නැවත සංකේතනය කිරීමේ ක්රියාවලිය ප්රතිස්ථාපනය කිරීමේ ක්රියාවලිය පිළිබඳව කිසිදු අනතුරු ඇඟවීමක් නොලැබෙන අතර මෙම මෙහෙයුමේ ප්රගතිය දැනගත හැක්කේ “luks Dump” භාවිතයෙන් පමණි. විධානය. ප්රහාරකයෙකුට විකේතනය කළ හැකි දත්ත ප්රමාණය LUKS2 ශීර්ෂයේ ප්රමාණය මත රඳා පවතී, නමුත් පෙරනිමි ප්රමාණයේ (16 MiB) එය 3 GB ඉක්මවිය හැක.
නැවත සංකේතනය කිරීම සඳහා නව සහ පැරණි යතුරුවල හැෂ් ගණනය කිරීම සහ සත්යාපනය කිරීම අවශ්ය වුවද, නව තත්වය සංකේතනය කිරීම සඳහා සාමාන්ය පෙළ යතුරක් නොමැති බව අදහස් කරන්නේ නම්, විකේතනය ආරම්භ කිරීමට හැෂ් අවශ්ය නොවන නිසා ගැටළුව ඇති වේ. මීට අමතරව, සංකේතාංකන ඇල්ගොරිතම නියම කරන LUKS2 පාරදත්ත, එය ප්රහාරකයෙකු අතට පත් වුවහොත් එය වෙනස් කිරීමෙන් ආරක්ෂා නොවේ. අවදානම අවහිර කිරීම සඳහා, සංවර්ධකයින් විසින් LUKS2 වෙත පාර-දත්ත සඳහා අමතර ආරක්ෂාවක් එක් කරන ලදී, ඒ සඳහා අතිරේක හැෂ් එකක් දැන් පරීක්ෂා කර ඇත, දන්නා යතුරු සහ පාර-දත්ත අන්තර්ගතය මත පදනම්ව ගණනය කරනු ලැබේ, i.e. ප්රහාරකයෙකුට විකේතන මුරපදය නොදැන පාරදත්ත රහසිගතව වෙනස් කළ නොහැක.
සාමාන්ය ප්රහාරක අවස්ථාවක් සඳහා ප්රහාරකයාට කිහිප වතාවක්ම ධාවකය මත අත තැබීමට හැකි වීම අවශ්ය වේ. පළමුව, ප්රවේශ මුරපදය නොදන්නා ප්රහාරකයෙකු පාර-දත්ත ප්රදේශයට වෙනස්කම් සිදු කරයි, ඊළඟ වතාවේ ධාවකය සක්රිය කරන විට දත්තවල කොටසක් විකේතනය කරයි. ධාවකය එහි ස්ථානයට ආපසු පැමිණෙන අතර පරිශීලකයා මුරපදයක් ඇතුළත් කිරීමෙන් එය සම්බන්ධ කරන තෙක් ප්රහාරකයා බලා සිටියි. උපාංගය පරිශීලකයා විසින් සක්රිය කළ විට, පසුබිම් නැවත සංකේතාංකන ක්රියාවලියක් ආරම්භ වන අතර, එම කාලය තුළ සංකේතනය කළ දත්තවල කොටසක් විකේතනය කළ දත්ත සමඟ ප්රතිස්ථාපනය වේ. තවද, ප්රහාරකයා නැවත උපාංගය අතට ගැනීමට සමත් වුවහොත්, ධාවකයේ ඇති සමහර දත්ත විකේතනය කළ ආකාරයෙන් පවතිනු ඇත.
ගැටළුව cryptsetup ව්යාපෘති නඩත්තු කරන්නා විසින් හඳුනාගෙන ඇති අතර cryptsetup 2.4.3 සහ 2.3.7 යාවත්කාලීනයන් තුළ විසඳා ඇත. බෙදාහැරීම්වල ඇති ගැටළුව විසඳීම සඳහා උත්පාදනය වන යාවත්කාලීනවල තත්ත්වය මෙම පිටුවල නිරීක්ෂණය කළ හැක: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. අවදානම පෙනෙන්නේ "මාර්ගගත නැවත සංකේතනය කිරීමේ" මෙහෙයුම සඳහා සහය හඳුන්වා දුන් cryptsetup 2.2.0 නිකුත් කිරීමත් සමඟ පමණි. ආරක්ෂාව සඳහා විසඳුමක් ලෙස, "--disable-luks2-reencryption" විකල්පය සමඟ දියත් කිරීම භාවිතා කළ හැක.
මූලාශ්රය: opennet.ru