Linux 6.9以降、LUKS suspend時に暗号鍵が消去されないバグ

原題: Since Linux 6.9, LUKS suspend stopped wiping disk-encryption keys from memory

なぜ重要か

フルディスク暗号化の根幹に関わるセキュリティ機能の欠陥であり、企業・個人問わず多数のLinuxユーザーへのリスクが懸念される。

Linux 6.9以降、LUKS suspendを実行してもディスク暗号化キーがメモリから消去されないバグが存在することが判明した。研究者のIngo Blechschmidtが数日間の調査の末にこの問題を発見し、Mastodon上で報告した。該当するLinuxバージョンを使用するユーザーのセキュリティに影響を与える可能性がある。

研究者のIngo Blechschmidtは、Mastodonのインスタンス「Mathstodon」への投稿で、Linux 6.9以降においてLUKS(Linux Unified Key Setup)のsuspend機能に重大なバグが存在することを報告した。

LUKS suspendは、システムをサスペンド(一時停止)状態にする際に、ディスク暗号化に使用している鍵をメモリ上から消去する機能である。これにより、物理的にメモリを取り出すいわゆる「コールドブート攻撃」などからデータを保護することを目的としている。

Blechschmidtによると、Linux 6.9のリリース以降、このLUKS suspendが正常に機能しなくなっており、サスペンド実行後もディスク暗号化キーがメモリ上に残留し続ける状態になっているという。同氏は数日間にわたる詳細な調査の末にこの問題を特定した。

このバグは、ノートパソコンなど携帯可能なデバイスでLUKSによるフルディスク暗号化を利用し、サスペンド機能を活用しているユーザーに対してセキュリティリスクをもたらす可能性がある。サスペンド中に鍵がメモリに残ることで、攻撃者が物理アクセスを通じて暗号鍵を奪取できるリスクが高まる。

現時点では、Linuxカーネルの公式な修正パッチについての詳細は同投稿内では明示されていないが、問題の存在が広く共有されたことで、コミュニティおよびカーネル開発者による対応が期待される。

出典

mathstodon.xyz — 元記事を読む →