<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Feb 11, 2016 at 8:06 PM, Roland C. Dowdeswell <span dir="ltr"><<a href="mailto:elric@imrryr.org" target="_blank">elric@imrryr.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On Thu, Feb 11, 2016 at 01:27:44PM -0800, Ray Dillinger wrote:<br>
><br>
<br>
> In considering attacks on disk encryption,</span></blockquote><div>.... </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""> I realized we've been doing<br>
> it wrong.  <br></span></blockquote><div>.... </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">
<br>
</span>It's much worse than this.  CTR mode in its simplest form can't be<br>
used for full disk encryption.  The contents of disks have a lot<br>
of predictable bits in them, superblocks, inodes, etc. </blockquote><br>Once a  file system is created there is replication of data by design.<br>Different systems do it differently but....<br> <br>"The superblock is located at the beginning of the disk slice, and is replicated in each cylinder group. Because the superblock contains critical data, multiple superblocks are made when the file system is created. Each of the superblock replicas is offset by a different amount from the beginning of its cylinder group...."<br>   <a href="https://docs.oracle.com/cd/E19455-01/805-7228/fsfilesysappx-3/index.html">https://docs.oracle.com/cd/E19455-01/805-7228/fsfilesysappx-3/index.html</a><br><br>A physical access attacker with "guest like MAC permissions" might uncompress a file that normally contains holes (blocks of null).   That  service rep or guest knows how many blocks.    Power down then block by block copy, the original reinstalled and the copy attacked off line.   The service rep/ guest can then remove the file of nulls.    Other compression bombs may allow non null data sets that might generate different attack surfaces.  Journal filesystems may have an attack hidden in the journal.  Storage (RAID) systems do contain redundant data, hmmm...  not all are equal some vendors sell encryption services.  <br></div>
</div></div>