Strona 1 z 1

FDE Full-Disk Encryption podczas instalacji

: 07 października 2019, 22:37
autor: robert93
Witam
Dotychczas uzywalem windows7 + veracrypt dla FDE
Czy istnieje podobne 100% rozwizanie w debianie ?

Przegladajac forum https://forum.dug.net.pl/viewtopic.php? ... 62#p298062
okazuje sie ze rozwiazanie FDE podczas instalacji systemu Debian nie zapewnia 100% skutecznosci szyfrowania(..??). Z tego co jest tam napisanie jeszcze dodatkowo by trzeba zaszyfrowac /boot/ zeby ktos nie odczytal mojego hasla albo przenesienie headersow na pendrive(i co mam go chowac czy tez ponownie zaszyfrowac), troche to bez sensu w porownaniu do fde z veracrypt 'a.
Pewnie cos mieszam w rozumowaniu ale tak to rozumiem.
Znacie jakies dobre rozwiazanie do fde na debianie, najlepiej z poradnikiem jak to zrobic?

Re: FDE Full-Disk Encryption podczas instalacji

: 08 października 2019, 21:58
autor: lizard
Veracrypt też nie szyfruje całego dysku, bo musi gdzieś przechowywać swój kod do uruchomienia systemu.

Co takiego ważnego - i dlaczego - trzymasz w katalogu /boot, że chcesz go szyfrować? Hasło masz w głowie a nie na dysku. Nagłówki i inne istotne rzeczy zapisywane są na dysku niezależnie od oprogramowania szyfrującego. Najważniejsze jest hasło i klucz wygenerowany dzięki niemu. Dopóki jesteś w stanie zapewnić poufność tym dwóch rzeczom, jesteś bezpieczny.

Re: FDE Full-Disk Encryption podczas instalacji

: 09 października 2019, 03:03
autor: Morfik
Ciężko zapewnić poufność czemuś, gdy obraz initrd/initramfs obecny na partycji /boot/ pozostaje w formie niezaszyfrowanej i podatnej na nieautoryzowane zmiany, których nie da się wykryć... xD

Re: FDE Full-Disk Encryption podczas instalacji

: 09 października 2019, 13:33
autor: lizard
Problem "wścibskiej pokojówki" znany jest od lat i dotyczył także BitLockera i TruCrypta. Nie wiem, czy dla tych dwóch coś się zmieniło.Masz jakąś propozycję, oprócz TPM-a i trzymania /boot w drugiej kieszeni spodni?

Re: FDE Full-Disk Encryption podczas instalacji

: 09 października 2019, 14:17
autor: Morfik
No można by się pobawić w podpisy GPG w grub mając EFI/UEFI:
https://ruderich.org/simon/notes/secure ... and-initrd

Z tego opisu wychodzi, że można by zweryfikować kernel, obraz initrd/initramfs, bootloader i jego konfigurację. Oczywiście to tylko w przypadku, gdy się nie będzie szyfrować /boot/ , bo grub oferuje taką funkcjonalność ale tylko w przypadku LUKSv1. Jak coś to tutaj jest drugi wątek tej dyskusji.

Choć ja jednak wolę odpalać swojego kompa z zaufanego urządzenia, jakim jest mój zaszyfrowany fon, który mam zawsze ze sobą. W ten sposób nawet kompa mogę zostawić bez opieki i nic wielkiego się nie stanie.