有没有人见过用于FDE的流密码？

Question

所以我是个新手。是否有人试验过为全磁盘加密实现流密码？

编辑

当然，在分组密码的基础上使用流密码所带来的警告！我在考虑移动存储的背景。我一直在读这些块密码，但从不流密码。

Answer 1

全磁盘加密的问题是，您不希望在身份验证标记上“浪费”空间(因为这会导致奇怪的扇区大小或磁盘上的大延迟/开销)。

因此，我们不能有标记，但也不想完全放弃良好的特性认证提供，特别是事实是，您可以检测到操纵。对于流密码来说，这是不可能的，因为攻击者可以在比特级粒度上更改数据，并且如果知道系统启动时自动执行的文件，就可以在驱动器上通过手术实现病毒。

现在，如果使用有效地将整个磁盘扇区转换为块的模式，块密码可能会使这个问题变得更加困难，在这些块中，一位翻转将破坏(即随机)整个明文。不幸的是，这些模式具有计算开销，因此不被使用。

我们实际上所做的是对每个块分别加密，为这个块使用一个特定的“微调”-value，这为我们获得了流密码不会具有的这三个属性：

• 如果您在密文中稍加更改，则128位明文将被更改。
• 无论您对底层明文了解多少，每次更改密文中的位都会导致不同的、不可预测的胡言乱语。
• 您不必担心IV/Nonce管理，这将是一个大麻烦，因为您必须为每个扇区更新更改IV，并且存储IV有与标记相同的问题，从扇区索引生成IV有IV重用的问题，这通常会泄漏大量明文信息，而合并使用计数器则需要尝试不同的值或存储回到第一个问题上的计数器的开销。

Answer 2

为了使用现有的未经修改的文件系统，磁盘加密必须将明文磁盘扇区映射到相同大小的密文磁盘扇区(通常为512或4096字节)，独立于每个磁盘扇区位置。这不包括向每个扇区添加任何状态，例如计数器。

这意味着当您覆盖磁盘扇区时，您基本上只限于使用磁盘范围的秘密密钥和磁盘扇区号--这两个都不随磁盘扇区的版本而改变。这在很大程度上排除了使用流密码的可能性，因为您需要为磁盘扇区的每个版本提供唯一的输入才能选择不同的密钥流。

在最坏的情况下，最好的磁盘加密方案，其中每个磁盘扇区的位置是加密使用一个512或4096字节排列均匀随机选择，对手将能够判断何时磁盘扇区是不变的从一个快照到另一个。

像CBC这样的现代磁盘加密方案近似于泄漏，而不仅仅是完整的磁盘扇区保持不变，但不多:具体来说，CBC泄漏是磁盘扇区前缀的密码块单元，没有变化。(BitLocker过去经常使用所谓的“大象扩散器”来更好地近似理想的磁盘加密，这样它也不会泄露前缀，但几年前，由于我不清楚的原因，它被删除了。)

旁白:磁盘加密的效用很重要，但很有限。它阻止了盗取你的磁盘的小偷，它允许你回收你的磁盘，或者把它发送给RMA，而不必担心存储在磁盘上的敏感信息。它不会阻止一个可以修改你的磁盘的对手:如果它在你的笔记本电脑里，那么对手有比覆盖你磁盘的部分更有趣的攻击途径，例如安装恶意固件。

对于与篡改相关的远程磁盘(如iSCSI )，您可以明智地使用涉及文件系统级别的流密码的身份验证加密方案，而不是模拟现有文件系统可以使用的磁盘。例如，ZFS支持文件系统中的身份验证，而磁盘不能透明地为所有文件系统添加身份验证，而在否则文件系统会很好地处理的情况下，不会导致严重的数据丢失。