针对Tarsnap（及其他工具）的分块攻击

恶魔调度

Colin Percival的思考

针对Tarsnap（及其他工具）的分块攻击

十年前我曾写道，需要比我更聪明的人才能从Tarsnap分割数据的方式中提取信息。好吧，我从未声称自己是世界上最聪明的人！与Boris Alexeev和Yan X Zhang合作，我刚刚向密码学电子版档案库上传了一篇论文，描述了一种选择明文攻击。这种攻击允许能够访问Tarsnap服务器的人（也就是我、亚马逊或NSA），或者可能具有足够监控网络流量能力的人（例如监视你WiFi传输的人）提取Tarsnap的分块参数。我们还提出了针对BorgBackup的已知和选择明文攻击，以及针对Restic的已知明文攻击。

当然，由于Tarsnap旨在为真正偏执的人提供在线备份，我今天发布了Tarsnap的新版本（版本1.0.41），其中包含针对这些攻击的缓解措施，使我们重新回到"我看不到任何计算上可行的攻击"的状态；但我也在探索使分块可证明安全的可能性。

我相信现在阅读此文的许多人都在问同一个问题：我的秘密安全吗？对此我不得不回答"几乎肯定是安全的"。我们泄露Tarsnap分块参数所需的攻击是一种选择明文攻击——你必须存档攻击者提供的数据——而且选择明文具有特定的特征（大量"小字母表"数据块），这会在Tarsnap服务器上显示出来（我看不到你的数据，但我可以看到块大小，这类明文是高度可压缩的）。此外，即使获取了Tarsnap的分块参数，泄露秘密数据也非常具有挑战性，需要进行交互式攻击，将选择明文与你的秘密混合。

在了解分块参数的情况下，泄露已知数据（例如回答"这台机器是否在存档FreeBSD 13.5-RELEASE amd64 dvd1.iso文件的副本"）是可能的；但这并不会特别增强攻击者的能力，因为能够执行选择明文攻击（提取Tarsnap分块参数所必需）的攻击者已经可以通过提示你再次存储文件并使用重复数据删除作为预言来确定你是否存储了文件。

简而言之：不用担心，但还是更新到最新版本。

感谢Boris Alexeev、Yan X Zhang、Kien Tuong Truong、Simon-Philipp Merz、Matteo Scarlata、Felix Gunther和Kenneth G. Paterson的帮助。这需要集体的努力。

发布于2025-03-21 19:00 | 永久链接 | 评论

查看论坛主题。 博客评论由Disqus提供支持。