NoahWatson
Well-Known Member
- 1 297
- 3 205
Przeczytaj jeszcze raz. Zauważ, że wszystko w punkcie a jest zaszyfrowane. Poczytaj, czym są pliki vmlinuz i initrd.img.
-
Forum Libertarian ma swój regulamin.
Prism - NRD mogło o tym pomarzyć
- Thread starter pawel-l
- Rozpoczęty
Mad.lock
barbarzyńsko-pogański stratego-decentralizm
- 5 149
- 5 110
Ja znalazłem opis tu http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/ ale wygląda skomplikowanie i musiałbym przetestować z 5 razy na maszynie wirtualnej, łącznie z odzyskiwaniem bootloadera albo tworzeniem nowego jak starego coś nadpisze.
Temat znów tu wrócił, nie wyrwałem widać ze wszystkimi korzeniami.
Temat znów tu wrócił, nie wyrwałem widać ze wszystkimi korzeniami.
Ostatnia edycja:
MaxStirner
Well-Known Member
- 2 775
- 4 721
Moim zdaniem można, bo jądro przenosisz na zaszyfrowaną partycję, przeczytaj opis. Na nieszyfrowanym boocie rezyduje tylko grub bez kernela. W opcji B, lepszej, po zaflaszowaniu libreboota (niestety obsługuje on tylko kilka modeli laptopów więc ma to prawie zerowy zasięg) grub jest już w paczce z obsługą UEFI ładowany bezpośrednio z flasha - wtedy w ogóle nie trzeba nieszyfrowanej partycji bootowalnej.
Cały trik bierze się stąd, że GRUB od wersji 2.xx (nie wiem dokładnie której) ma wprowadzoną obsługę bootowania z partycji szyfrowanych blokowo
Cały trik bierze się stąd, że GRUB od wersji 2.xx (nie wiem dokładnie której) ma wprowadzoną obsługę bootowania z partycji szyfrowanych blokowo
Ostatnia edycja:
kr2y510
konfederata targowicki
- 12 770
- 24 727
Wiem czym są (tekstu nie odebrałem uważnie, bo wysoka temperatura - mea culpa). Ale to nadal nie jest zaszyfrowany cały dysk. Można pogrzebać w GRUB-ie.
To już jest to. O tym nie wiedziałem.
Ostatnia edycja:
NoahWatson
Well-Known Member
- 1 297
- 3 205
Dla mnie pomysł FDE opartym tylko na jednym nośniku, którego dotyczy szyfrowanie jest słaby. Zawsze musi być jakiś, chociaż mały kawałek niezaszyfrowanego kodu na dysku. Ktoś może powiedzieć, że na kawałku dysku w odp. obszarze MBR, tam gdzie może zapisywać się niezaszyfrowany kod (zakładając, że cały bootloader się tam zmieści) nie zmieści się atakujący kod + miejsce, w którym można by zapisać pobrany klucz. Co z tego? Jeśli się nie zmieści to rozbieram laptop/stacjonarkę atakowanej osoby, wymieniam dysk na odrobinę większy, dane zaszyfrowane kopiuję normalnie, ale daję trochę inny bootloader. I ten bootloader ma miejsce, bo dałem dysk większy o np. 10 MB.
Od razu przypominam, że pomysł szyfrowania dysku jest właśnie po to, by chronić dane które ktoś może posiaść wchodząc w posiadanie nośnika, na którym one są zapisane. FDE jest po to, by (niby) ochronić dane nawet w sytuacji, w której nośnik trafia do atakującego kilka razy (>=2), a osoba której nośnik trafia o tym nie wie.
Tymczasem, jeśli będzie się uruchamiało PC z zewnętrznego urządzenia na którym jest bootloader, można nawet zastawić pułapkę. Można sprawdzać czy dane katalogu /boot nie zostały zmienione i w ten sposób dowiedzieć się czy ktoś nie manipulował przy dysku. Wystarczą polecenia dd i sha256sum.
BTW W jaki sposób mogę się na Windowsie obronić przed atakiem Cold Boot?
Od razu przypominam, że pomysł szyfrowania dysku jest właśnie po to, by chronić dane które ktoś może posiaść wchodząc w posiadanie nośnika, na którym one są zapisane. FDE jest po to, by (niby) ochronić dane nawet w sytuacji, w której nośnik trafia do atakującego kilka razy (>=2), a osoba której nośnik trafia o tym nie wie.
Tymczasem, jeśli będzie się uruchamiało PC z zewnętrznego urządzenia na którym jest bootloader, można nawet zastawić pułapkę. Można sprawdzać czy dane katalogu /boot nie zostały zmienione i w ten sposób dowiedzieć się czy ktoś nie manipulował przy dysku. Wystarczą polecenia dd i sha256sum.
BTW W jaki sposób mogę się na Windowsie obronić przed atakiem Cold Boot?
kr2y510
konfederata targowicki
- 12 770
- 24 727
Prawda. Ma słabości, ale jest wygodny. Ostatnio VeraCrypt wprowadził kontrolę spójności MBR i bootloadera, więc atak "Evil Maid" nie będzie taki prosty. Rozpocznie się era wojen rdzeniowych (core war).
Jak będę miał nowy laptop, to będę go bootował ze smartfona. Oprogramowanie do symulowania pendrive na USB już jest, a będzie bootowany obraz z zaszyfrowanego kontenera. Nawet jak ktoś przejmie jakimś trojanem smartfona, to jakakolwiek modyfikacja nie przejdzie przez kontrolę spójności. Wtedy naprawdę cały dysk może być zaszyfrowany.