针对Tarsnap（及其他工具）的分块攻击

Daemonic Dispatches

Colin Percival的随想

针对Tarsnap（及其他工具）的分块攻击

十年前我写道，需要比我更聪明的人才能从Tarsnap分割数据块的方式中提取信息。好吧，我从未声称自己是世界上最聪明的人！与Boris Alexeev和Yan X Zhang合作，我刚刚向Cryptology ePrint Archive提交了一篇论文，描述了一种选择明文攻击。这种攻击允许能够访问Tarsnap服务器的人（也就是我、亚马逊或NSA），或者可能有足够能力监控网络流量的人（例如监视你Wi-Fi传输的人）提取Tarsnap的分块参数。我们还提出了针对BorgBackup的已知明文攻击和选择明文攻击，以及针对Restic的已知明文攻击。

当然，因为Tarsnap旨在成为“真正偏执狂的在线备份”，我今天发布了Tarsnap的新版本（版本1.0.41），其中包含针对这些攻击的缓解措施，使我们恢复到“我看不到任何计算上可行的攻击”的状态；但我也在探索使分块可证明安全的可能性。

我相信现在阅读这篇文章的很多人都在问同一个问题：我的秘密安全吗？对此，我不得不回答“几乎肯定是安全的”。我们泄露Tarsnap分块参数所需的攻击是一种选择明文攻击——你必须归档攻击者提供给你的数据——而且选择明文具有特定的特征（大量的“小字母表”数据块），这会在Tarsnap服务器上显现（我看不到你的数据，但我可以看到块大小，这类明文是高度可压缩的）。此外，即使在获得Tarsnap的分块参数后，泄露秘密数据也将非常具有挑战性，需要一种将选择明文与你的秘密混合的交互式攻击。

在了解分块参数的情况下，泄露已知数据（例如回答“这台机器是否在归档FreeBSD 13.5-RELEASE amd64 dvd1.iso文件的副本”是可能的；但这并没有特别增强攻击者的能力，因为能够执行选择明文攻击（提取Tarsnap分块参数所必需）的攻击者已经可以通过提示你再次存储文件并使用重复数据删除作为预言机来确定你是否存储了某个文件。

简而言之：不用担心，但还是更新到最新版本。

感谢Boris Alexeev, Yan X Zhang, Kien Tuong Truong, Simon-Philipp Merz, Matteo Scarlata, Felix Gunther和Kenneth G. Paterson的帮助。这需要集体的力量。

发布时间：2025-03-21 19:00 | 永久链接 | 评论