Skip to content

Sicherheit von LUKS

Ich stolpere mit der Tuer mal direkt ins Haus:


Bruteforce auf der GPU ist schnell & Cryptcontainer erstellt auf langsamen CPUs sind unsicherer.


 Das unter Linux weit verbreitete Harddrive-verschluesselstool cryptsetup nutzt um aus einem Password ein Schluessel zu machen die aufwendige Hashfunktion PBKDF2.
Auf dem gleichen Hashverfahren basieren auch viele andere Sachen wie 1Password, WPA oder auch TrueCrypt. Und genau zu letzterem hat der Programmierer hinter ocl-hashcat jetzt Zahlen zu GPU-basierten Bruteforce Angriff veroeffentlicht:



  • PBKDF2-HMAC-RipeMD160 / AES: 223 kHash/s

  • PBKDF2-HMAC-SHA512 / AES: 95 kHash/s


Damit ist TrueCrypt im worstcase bei 8-stelligen Kleinbuchstaben-Passwoertern in wenigen Tagen geknackt.


Auf LUKS (dm-crypt/cryptsetup) ist dies uebertragbar:



  1. Die Schwierigkeit und damit die Geschwindigkeit von PBKDF2 wird durch die Anzahl der Runden/Iterationen festgelegt.

    TrueCrypt hat (nach meiner Recherche) fest 1000 Iterationen.

    Bei LUKS ist dies is laut Wikieintrag bei Default=10, wird aber von cryptsetup beim erzeugen des Containers von der CPU-Geschwindigkeit abhaengig festgelegt. Ein schneller Rechner erzeugt also ein sicheren Container, als ein langsamer. Mein DualCore Notebook erzeugt 63758 Iterations; auf einem P4 komm ich nur auf 45212. Selbst auszulesen ist dies durch:

    # cryptsetup luksDump /dev/sda

    Und dann auf die Zeile: "Iterations:" achten.



  2. Das von LUKS bei PBKDF2 eingesetzte Hash-Verfahren kann laut Wikieintrag RipeMD160 oder SHA1 sein.
    Alle meine Container nutzen SHA1. Ebenfalls durch oben erwaehnten Befehl selbst nachschlagbar.
    Da von atom nur SHA512 implementiert wurde, kommen fuer eine Umrechnung von SHA512 Hashs/s nach SHA1 Hashs/s der PC3 (der wohl auch fuer die TrueCrypt-Benchmarks benutzt wurde) aus der Tabelle von Hashcat selbst. 3081/152 ist ungefaehr 20. Was bedeutet, dass SHA1 20x so schnell wie SHA512 berechnet werden kann.


Fuer den Container auf meinem Notebook kann man nun folgende Geschwindigkeit abschaetzen:


1000/63758 x 20 x 95k Hashs /s  = 29,8 k Hashs/s


Was fuer ein 8-stelliges Kleinbuchstaben-password 80Tage bedeutet.



Bei der Default-Einstellung von 10-Iterationen hingegen:


1000/10 x 20 x 95k Hashs /s = 190 000 k Hashs/s


 Was fuer 8-stellige Kleinbuchstaben 18 Minuten, fuer 8-stellige Klein/Gross/Zahlen/Sonderzeichen 1,2 Jahre bedeutet.


Da ich leider keine alten Cryptcontainer zur Hand habe, kann ich nicht beurteilen welche Werte realistisch da drin stehen. Kann aber nur davon abraten kurze Passwoerter zu benutzten. Denn der Entwickler von ocl-hashcat nutzt auch Linux. Es ist also nur eine Frage der Zeit, bis das Tool auch LUKS angreifen kann.