File System cifrati: generalità e spunti progettuali

I File-system cifrati sono in grado di fornire una protezione passiva ai supporti di data storage nel caso gli stessi siano sottratti o perduti. Lo scopo di questo studio è d’indagare sull’affidabilità di tali strumenti e sull’efficacia delle tecniche crittografiche utilizzate, al fine di permetterne una corretta analisi del rischio.

Per determinare le componenti trusted costitutive di un buon Fs-cifrato, si è fatto riferimento a delle specifiche tecniche emesse da degli enti di standardizzazione internazionalmente riconosciuti. In particolare le pubblicazioni del NIST e del SISWG sono state utilizzate per definire le regole relative ai cifrari e alle modalità di cifratura, mentre per definire le caratteristiche della derivated-function s'è fatto uso della specifica PKCS#5. che si occupa di caratterizzare una funzione PBFDK2 (password based key derive function), in grado di rendere estremamente improbabili attacchi esaustivi basati su dizionario. Per quanto attiene alla definizione di una gestione sicura delle chiavi, si è fatto riferimento alla specifica TSK1 di Clemens Fruhwirth, con cui viene definito uno schema di gestione delle chiavi crittografiche specifico per la cifratura dei dischi, sicuro, documentato e resistente all’analisi forense.

Dopo aver determinato la metrica di valutazione, il passo successivo è stato l'analisi delle implementazioni. Trattandosi di sicurezza la scelta delle soluzioni open-source è stata un passo obbligato, tuttavia non mancano dei riferimenti, dove la documentazione a corredo lo ha permesso, alle soluzioni closed-source originali.

Due sono le macrocategorie, entro cui sono state suddivise le soluzioni analizzate, sulla base del livello su cui si applica la Crittografia: FS-cifrati impilati su un FS esistente e FS-cifrati operanti al block-level. Nella prima categoria rientrano le soluzioni pass-throught che si pongono al di sopra di un FS esistente e consentono di attivare una protezione selettiva e flessibile sulle singole directory. Il principale problema è costituito dalla presenza d’informazioni security-sensitive in settori non protetti. Tra i casi appartenenti a questa categoria ed ivi analizzati troviamo: CFS, TCFS, EncFs ed eCryptFs in Linux, EFS in Microsoft.

Nella seconda categoria, rientrano le soluzioni che implementano la cifratura al di sotto del FS esistente e sono in grado di cifrare l’intero hard-disk o partizione, offrendo così una protezione totale. Tra i casi analizzati troviamo: Cryptloop, Loop-AES, Dm-crypt in Linux e Truecrypt l’unico multi-piattaforma.

Dall'analisi delle implementazioni sono emerse alcune criticità: tra le principali si rileva come molti prodotti analizzati delegano all’utente la personalizzazione del rapporto velocità/sicurezza, ma tale libertà di scelta in mani poco esperte può rivelarsi un’arma a doppio taglio. A ciò si aggiunga che la quasi totalità dei casi studio analizzati propone un settaggio di default insicuro. Inoltre l’esigenza, da parte degli enti di standardizzazione, di definire delle modalità specifiche per la problematica in studio, nasce come risposta alla sempre più evidente inadeguatezza dei metodi di cifratura tradizionali applicati a questo contesto. Vedremo che la modalità più utilizzata nelle odierne implementazioni, risulta poco adatta a garantire, in alcuni ambiti, una protezione adeguata. Ne emerge, pertanto, un quadro in cui occorre muoversi con estrema cautela e perizia.

Alle vulnerabilità è dedicato il Capitolo terzo. Il primo attacco descritto è il watermarking attack, che sfrutta le debolezze dovute all’accoppiata CBC e publicIV, setup comunemente adottato nelle implementazioni. Con questo attacco è possibile provare davanti ad un giudice, l’esistenza di dati specifici all’interno del volume cifrato. Il secondo attacco descritto è l’attacco esaustivo basato sul dizionario, che sfrutta le carenze di una mal progettata derivated-function. L’ultimo attacco descritto è il cool-boot attack, con cui sfruttando una proprietà fisica dei chip di memoria centrale è possibile leggerne il contenuto e recuperare la chiave del sistema di cifratura.

Il quarto Capitolo è dedicato alla parte progettuale di questa tesi. Nello specifico ci si è voluti misurare con l’implementazione di una moderna modalità di tipo wide specificatamente pensata per la cifratura dei dischi rigidi. Si è scelto d’implementare, in accordo con le politiche di future developement, la modalità EME all'interno di EncFs, modalità parallelizzabile e quindi in grado di sfruttare le moderne architetture multiprocessore. Nel confronto finale tra le modalità native presenti in EncFs e la modalità EME implementata, si è evidenziato un potenziale vantaggio competitivo a favore di quest’ultima, nonostante effettui un numero più che doppio di chiamate al cifrario base, 2n+1 contro n, che ne giustifica futuri sviluppi.