FDE Full-Disk Encryption podczas instalacji

Pomoc dotycząca instalacji systemu
robert93
Posty: 1
Rejestracja: 07 października 2019, 21:28

FDE Full-Disk Encryption podczas instalacji

Post autor: robert93 »

Witam
Dotychczas uzywalem windows7 + veracrypt dla FDE
Czy istnieje podobne 100% rozwizanie w debianie ?

Przegladajac forum https://forum.dug.net.pl/viewtopic.php? ... 62#p298062
okazuje sie ze rozwiazanie FDE podczas instalacji systemu Debian nie zapewnia 100% skutecznosci szyfrowania(..??). Z tego co jest tam napisanie jeszcze dodatkowo by trzeba zaszyfrowac /boot/ zeby ktos nie odczytal mojego hasla albo przenesienie headersow na pendrive(i co mam go chowac czy tez ponownie zaszyfrowac), troche to bez sensu w porownaniu do fde z veracrypt 'a.
Pewnie cos mieszam w rozumowaniu ale tak to rozumiem.
Znacie jakies dobre rozwiazanie do fde na debianie, najlepiej z poradnikiem jak to zrobic?
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: lizard »

Veracrypt też nie szyfruje całego dysku, bo musi gdzieś przechowywać swój kod do uruchomienia systemu.

Co takiego ważnego - i dlaczego - trzymasz w katalogu /boot, że chcesz go szyfrować? Hasło masz w głowie a nie na dysku. Nagłówki i inne istotne rzeczy zapisywane są na dysku niezależnie od oprogramowania szyfrującego. Najważniejsze jest hasło i klucz wygenerowany dzięki niemu. Dopóki jesteś w stanie zapewnić poufność tym dwóch rzeczom, jesteś bezpieczny.
Awatar użytkownika
Morfik
Beginner
Posty: 149
Rejestracja: 21 lutego 2009, 21:00

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: Morfik »

Ciężko zapewnić poufność czemuś, gdy obraz initrd/initramfs obecny na partycji /boot/ pozostaje w formie niezaszyfrowanej i podatnej na nieautoryzowane zmiany, których nie da się wykryć... xD
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: lizard »

Problem "wścibskiej pokojówki" znany jest od lat i dotyczył także BitLockera i TruCrypta. Nie wiem, czy dla tych dwóch coś się zmieniło.Masz jakąś propozycję, oprócz TPM-a i trzymania /boot w drugiej kieszeni spodni?
Awatar użytkownika
Morfik
Beginner
Posty: 149
Rejestracja: 21 lutego 2009, 21:00

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: Morfik »

No można by się pobawić w podpisy GPG w grub mając EFI/UEFI:
https://ruderich.org/simon/notes/secure ... and-initrd

Z tego opisu wychodzi, że można by zweryfikować kernel, obraz initrd/initramfs, bootloader i jego konfigurację. Oczywiście to tylko w przypadku, gdy się nie będzie szyfrować /boot/ , bo grub oferuje taką funkcjonalność ale tylko w przypadku LUKSv1. Jak coś to tutaj jest drugi wątek tej dyskusji.

Choć ja jednak wolę odpalać swojego kompa z zaufanego urządzenia, jakim jest mój zaszyfrowany fon, który mam zawsze ze sobą. W ten sposób nawet kompa mogę zostawić bez opieki i nic wielkiego się nie stanie.
przemof-s
Posty: 1
Rejestracja: 27 maja 2020, 00:58

Re: FDE Full-Disk Encryption podczas instalacji

Post autor: przemof-s »

Poniżej zamieszczam link do tutoriala, który co prawda dotyczy instalacji FDE Linux Mint 19.3, ale może będzie w jakiś sposób pomocny.
https://docdro.id/5wdBWxR
ODPOWIEDZ