web-dev-qa-db-ja.com

テールUSBブートディスクの暗号化(ライブ)

尻尾を使用するために、少なくとも理由の範囲内でDVDが改ざんされないことがわかっているため、常にDVDを使用してきました。ただし、USBブートオプションの方が高速である理由は無限にあり、現在作成中のプロジェクトでは、これが唯一の選択肢です。

ここに私が得ないものがあります、そしてそれは非常に見過ごされているように見えるので、私は何かを誤解しているに違いないと思います...テールがUSBドライブにインストールされるとき、なぜそれはパーティションを暗号化せず、起動前認証を必要としますドライブの整合性を保護するには?

現状では、ドライブを別のコンピューターにマウントし、それをいじくり回してthatテールインストールを危険にさらすことができます。

他のOSと同じように、暗号化を破らなければ、ディスクを物理的に所有してOSを副攻撃することはできませんか?

私はそれについてあまりおしゃべりを見つけていませんので、もう一度何かを逃していますか?

私が欲しい最終結果は、ディスクがmyインストールで起動しない、または最初に認証する必要なく、ディスクが失われた場合に他の場所でマウントを許可することです/ stolen、borrowedまたはwhatnot ...すべて安全に暗号化されていること。

編集:いくつかの役立つコメントの後、これは期待どおりに機能しないようです。

したがって、私が望んでいた結果ではない間、私は小さなSSDを購入する可能性がありますGRUBを使用してドライブ内からISOを起動し、ISOファイルとそのファイルの整合性を確認できましたディスクの暗号化された側に保存されます... これに似たもの

オプティカルドライブはバッテリーを消費し、システムがそのベイにセカンダリバッテリーを搭載でき、さらに消費電力が少ない場合...プロトタイプはバッテリーの寿命が約8.5時間でした!それは素晴らしかった。

残念ながら、このプロジェクトの時間要件により、利益率が0または-に低下する可能性があります。

disk-encryptionusb-driveluks
3
Sabre

これは有効な質問です。 OSはもともとCD/DVDから起動し、使い捨てメディアとして機能するように作成されたもので、安全に暗号化されたサムドライブと組み合わせて使用​​することができます。

使用できる方法はいくつかありますが、実際には、システムの整合性と機密性(作成した場合)を保証するために、フルシステム(もちろんブートパーティションを除く)暗号化にLVM over LUKS暗号化が頭に浮かびます(そして、要求しているものとよく似ています)。永続的)侵害されていません。 USBの内容をハッシュして、改ざんの可能性をチェックすることもできます。

これが実装されていない理由は、実装の難易度が大幅に上がるためだと思います。平均的なJoe(これが最初に作成された人々)は、ボリュームの暗号化などの問題を経験する前におそらくあきらめるでしょう、私は(少なくとも私にとって)LVMをLUKに実装するのがArchシステムの非常に面倒だったことを知っています。

いずれにせよ、あなたが安全であることを信頼しているなら、あなたが他の誰かに引き渡したメディアはおそらく信用しないでしょう。あなたのDVDが改ざんされていないことを知っている限り...まあ、私がそれに直接アクセスできれば、かなり簡単にあなたのDVDのように見えるDVDを作ることができるでしょう...考えてみてください。

これはすべて、セキュリティの詳細、セキュリティよりも使いやすいこと、どれだけ遠くまでやりたいか、潜在的な脅威にどれだけ偏執的であるかにかかっています。

3
P0LYmath

これは、追記型メモリを使用して別の方法で実現できます。問題は、これが広く利用できず、解決しなければならない他の問題を解決できない可能性があることです。

  • キャリアのない光メディアは、悪意のあるバージョンに「置き換える」のは難しいですが、暗号化は、追記型メディアのような変更や操作を妨げません。

  • USBドライブには、コントローラー、EEPROM、フラッシュチップが搭載されています。これらはすべてケースの内部に表示されず、悪用される可能性があるため、暗号化だけでは十分ではありません。

  • 暗号化は、鍵が漏洩せず、変更が行われない限り、改ざんの防止に役立ちます。そうなると、誤った安心感を与えることで、実際にあなたに対して不利になります。

私がこれを自分でやろうと試みた方法の1つは、チップから書き込み可能ピンを切り離すことですが、NANDおよびFTLコントローラーでは、ブロックを再マップする必要があることが多いため、これは問題を引き起こします。すぐにNAND。

私が試したもう1つの方法は、SDカードとCFカードを使用して、そこにある書き込みラインを物理的に削除することですが、これにより同様の問題が発生し、組み込みコントローラーの問題が解決されず、容易に悪用される可能性があります。オプティカルドライブにもコントローラーが組み込まれており、マザーボード、CPU、PCHなどにもそれらが組み込まれていることを考えると、最初に脅威モデルを確立する価値があります。ハードウェアをだれも台無しにしていないと想定できる場合は、書き込み禁止スイッチが付いたUSBドライブで十分かもしれません。

ポイントをもう少し先に進めるには、暗号化は不変のストレージと同じではありません。

0
John Keates