Kiedy korzystasz z pełnego szyfrowania dysku LUKS, jak zabrałbyś się za ochronę przed złymi pokojówkami ?
Atak złej pokojówki ma miejsce, gdy ktoś nie ma fizycznego dostępu do twojego komputera, gdy jesteś nieobecny, i naraża niezaszyfrowaną partycję rozruchową, aby przechwycić twoje hasło FDE przy następnym uruchomieniu komputera
Jednym z rozwiązań jest pozostawienie partycji / boot na pamięci USB, która jest zawsze przy Tobie (pokojówka nie może się do niej dostać), ale którego systemu plików powinienem użyć i jak skonfigurować mój system, aby z wdzięcznością poradził sobie z usuwaniem pamięci USB (a tym samym samej partycji / boot)?
Korzystam z CentOS, ale ogólne, distro-agnostyczne odpowiedzi są oczywiście mile widziane. Dzięki.
Innym podejściem do tego konkretnego problemu jest użycie TPM do przechowywania klucza szyfrowania, ale obrona zależy od użytkownika, aby był skuteczny. Podstawowym rozwiązaniem opartym na RHEL7 jest tpm-luks ( https://github.com/GeisingerBTI/tpm-luks ).
Sposób działania polega na rozruchu, każdy krok procesu rozruchu mierzy następny i zapisuje ten pomiar w PCR na TPM. Po zakończeniu procesu rozruchu tpm-luks sprawdza status PCR pod kątem „znanej dobrej” konfiguracji. Jeśli w konfiguracji „znanej dobrej” TPM odblokuje klucz LUKS, a tpm-luks przekaże te dane, aby odblokować główną partycję LUKS.
Ponieważ wszystko, co ważne, mierzone jest za pomocą skrótu crpytograficznego, w zasadzie nie ma sposobu, aby zła służąca zastąpiła twoje GRUB / jądro / ramdysk, by niefrasobliwie zbierać twoje hasło FDE. Jako dodatkowy bonus, w ogóle nie potrzebujesz hasła FDE! Teoretycznie możesz całkowicie usunąć czytelne dla człowieka hasło i polegać całkowicie na tpm-luks, ale jeśli pójdziesz tą drogą, prawdopodobnie dobrym pomysłem jest przechowywanie nagłówka LUKS i zachowanie go jako kopii zapasowej.
Jak wspomniałem, wymaga to pewnej staranności wobec użytkownika. Jeśli zostawiłeś komputer bez nadzoru i pojawi się monit o hasło, prawdopodobnie złym pomysłem jest wpisanie go, dopóki nie przeprowadzisz dochodzenia. W tym momencie powinieneś uruchomić się w środowisku CD na żywo i sprawdzić, czy w tpm-luks jest błąd lub czy
/boot
partycja została naprawdę zmieniona. Wciąż pozostawiasz/boot
partycję niezaszyfrowaną, ale jeśli coś ważnego zostanie zmienione, główny dysk nigdy nie zostanie odszyfrowany.źródło