针对Tarsnap（及其他系统）的分块攻击

Daemonic Dispatches Colin Percival的随想

分块攻击对Tarsnap（及其他系统）的影响

十年前我曾写道，需要比我更聪明的人才能从Tarsnap分割数据的方式中提取信息。好吧，我从未自称是世界上最聪明的人！在与Boris Alexeev和Yan X Zhang的合作下，我们刚向密码学ePrint档案库提交了一篇论文，描述了一种选择明文攻击。这种攻击允许能够访问Tarsnap服务器的人（比如我、亚马逊或NSA），或者可能具有足够能力监控网络流量的人（例如监视你WiFi传输的人）提取Tarsnap的分块参数。我们还提出了针对BorgBackup的已知和选择明文攻击，以及针对Restic的已知明文攻击。

当然，由于Tarsnap旨在为真正偏执的用户提供在线备份，我今天发布了Tarsnap的新版本（版本1.0.41），其中包含对这些攻击的缓解措施，使我们回到“我看不到任何计算上可行的攻击”的状态；但我也在探索使分块可证明安全的可能性。

我相信现在阅读此文的许多人都在问同一个问题：我的秘密安全吗？对此我不得不回答“几乎肯定是安全的”。我们泄露Tarsnap分块参数的攻击是一种选择明文攻击——你必须归档攻击者提供的数据——而选择明文具有特定的特征（大量“小字母表”数据块），这会在Tarsnap服务器上显示出来（我看不到你的数据，但可以看到块大小，这种明文是高度可压缩的）。此外，即使获取了Tarsnap的分块参数，泄露秘密数据也非常具有挑战性，需要一种将选择明文与你的秘密混合的交互式攻击。

在了解分块参数的情况下，泄露已知数据（例如回答“这台机器是否在归档FreeBSD 13.5-RELEASE amd64 dvd1.iso文件的副本”是可能的；但这并不会特别增强攻击者的能力，因为能够执行选择明文攻击（提取Tarsnap分块参数所必需）的攻击者已经可以通过提示你再次存储文件并使用重复数据删除作为预言机来确定你是否存储了某个文件。

简而言之：不用担心，但请务必更新到最新版本。

感谢Boris Alexeev、Yan X Zhang、Kien Tuong Truong、Simon-Philipp Merz、Matteo Scarlata、Felix Gunther和Kenneth G. Paterson的帮助。众人拾柴火焰高。

发布于2025-03-21 19:00 | 永久链接 评论

查看论坛线程。 博客评论由Disqus提供支持