FDE Full-Disk Encryption podczas instalacji

Pomoc dotycząca instalacji systemu
robert93
Posty: 1
Rejestracja: 07 października 2019, 21:28

FDE Full-Disk Encryption podczas instalacji

Post autor: robert93 » 07 października 2019, 22:37

Witam
Dotychczas uzywalem windows7 + veracrypt dla FDE
Czy istnieje podobne 100% rozwizanie w debianie ?

Przegladajac forum https://forum.dug.net.pl/viewtopic.php? ... 62#p298062
okazuje sie ze rozwiazanie FDE podczas instalacji systemu Debian nie zapewnia 100% skutecznosci szyfrowania(..??). Z tego co jest tam napisanie jeszcze dodatkowo by trzeba zaszyfrowac /boot/ zeby ktos nie odczytal mojego hasla albo przenesienie headersow na pendrive(i co mam go chowac czy tez ponownie zaszyfrowac), troche to bez sensu w porownaniu do fde z veracrypt 'a.
Pewnie cos mieszam w rozumowaniu ale tak to rozumiem.
Znacie jakies dobre rozwiazanie do fde na debianie, najlepiej z poradnikiem jak to zrobic?

Awatar użytkownika
lizard
Beginner
Posty: 256
Rejestracja: 08 lutego 2016, 18:47

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: lizard » 08 października 2019, 21:58

Veracrypt też nie szyfruje całego dysku, bo musi gdzieś przechowywać swój kod do uruchomienia systemu.

Co takiego ważnego - i dlaczego - trzymasz w katalogu /boot, że chcesz go szyfrować? Hasło masz w głowie a nie na dysku. Nagłówki i inne istotne rzeczy zapisywane są na dysku niezależnie od oprogramowania szyfrującego. Najważniejsze jest hasło i klucz wygenerowany dzięki niemu. Dopóki jesteś w stanie zapewnić poufność tym dwóch rzeczom, jesteś bezpieczny.

Awatar użytkownika
Morfik
Beginner
Posty: 147
Rejestracja: 21 lutego 2009, 21:00

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: Morfik » 09 października 2019, 03:03

Ciężko zapewnić poufność czemuś, gdy obraz initrd/initramfs obecny na partycji /boot/ pozostaje w formie niezaszyfrowanej i podatnej na nieautoryzowane zmiany, których nie da się wykryć... xD

Awatar użytkownika
lizard
Beginner
Posty: 256
Rejestracja: 08 lutego 2016, 18:47

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: lizard » 09 października 2019, 13:33

Problem "wścibskiej pokojówki" znany jest od lat i dotyczył także BitLockera i TruCrypta. Nie wiem, czy dla tych dwóch coś się zmieniło.Masz jakąś propozycję, oprócz TPM-a i trzymania /boot w drugiej kieszeni spodni?

Awatar użytkownika
Morfik
Beginner
Posty: 147
Rejestracja: 21 lutego 2009, 21:00

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: Morfik » 09 października 2019, 14:17

No można by się pobawić w podpisy GPG w grub mając EFI/UEFI:
https://ruderich.org/simon/notes/secure ... and-initrd

Z tego opisu wychodzi, że można by zweryfikować kernel, obraz initrd/initramfs, bootloader i jego konfigurację. Oczywiście to tylko w przypadku, gdy się nie będzie szyfrować /boot/ , bo grub oferuje taką funkcjonalność ale tylko w przypadku LUKSv1. Jak coś to tutaj jest drugi wątek tej dyskusji.

Choć ja jednak wolę odpalać swojego kompa z zaufanego urządzenia, jakim jest mój zaszyfrowany fon, który mam zawsze ze sobą. W ten sposób nawet kompa mogę zostawić bez opieki i nic wielkiego się nie stanie.

ODPOWIEDZ