Tarsnap（及其他系统）的分块攻击

恶魔调度

Colin Percival的思考

Tarsnap（及其他系统）的分块攻击

十年前我曾写道，要从Tarsnap分割数据块的方式中提取信息，需要比我更聪明的人才能做到。

好吧，我从未声称自己是世界上最聪明的人！与Boris Alexeev和Yan X Zhang合作，我刚刚向密码学ePrint档案库提交了一篇论文，描述了一种选择明文攻击。这种攻击允许能够访问Tarsnap服务器的人（也就是我、亚马逊或NSA），或者可能具有足够能力监控网络流量的人（例如监视你WiFi传输的人）提取Tarsnap的分块参数。我们还针对BorgBackup提出了已知明文和选择明文攻击，以及针对Restic的已知明文攻击。

当然，由于Tarsnap旨在为真正偏执的人提供在线备份，我今天发布了Tarsnap的新版本（版本1.0.41），其中包含对这些攻击的缓解措施，使我们回到“我看不到任何计算上可行的攻击”的状态；但我也在探索使分块可证明安全的可能性。

我相信现在阅读此文的许多人都在问同一个问题：我的秘密安全吗？对此我不得不回答“几乎肯定是安全的”。我们泄露Tarsnap分块参数的攻击是一种选择明文攻击——你必须归档攻击者提供的数据——而且选择明文具有特定的特征（大量“小字母表”数据块），这会在Tarsnap服务器上显示出来（我无法看到你的数据，但可以看到块大小，这类明文是高度可压缩的）。此外，即使在获取Tarsnap的分块参数后，泄露秘密数据也非常具有挑战性，需要一种将选择明文与你的秘密混合的交互式攻击。

在了解分块参数的情况下，泄露已知数据（例如回答“这台机器是否在归档FreeBSD 13.5-RELEASE amd64 dvd1.iso文件的副本”是可能的；但这并不会特别增强攻击者的能力，因为能够执行选择明文攻击（提取Tarsnap分块参数所必需）的攻击者已经可以通过提示你再次存储文件并使用重复数据删除作为预言来确定你是否存储了某个文件。

简而言之：不用担心，但还是更新到最新版本。

感谢Boris Alexeev、Yan X Zhang、Kien Tuong Truong、Simon-Philipp Merz、Matteo Scarlata、Felix Gunther和Kenneth G. Paterson的帮助。这需要整个社区的共同努力。

发布于 2025-03-21 19:00 | 永久链接 | 0条评论

查看论坛主题。