전체 디스크 암호화를 지원하는 Linux 부트 로더? 다른 옵션이 있습니까? (난 정말 전체

전체 디스크 암호화 (la TrueCrypt )를 지원하는 Linux 부트 로더가 있습니까? GRUB2에 암호화 지원을 추가하는 작업이 있었지만 아직 준비가되지 않은 것 같습니다. 다른 옵션이 있습니까?

(난 정말 전체 디스크 암호화가 여기에 포함하여 참조하고 있습니다 /boot)

대부분의 답변 /boot은 암호화되지 않은 설정에 대해 설명 하고 일부는 암호화되지 않은 이유를 설명하려고 시도합니다 /boot.

왜 실제로 / boot를 암호화해야하는지에 대한 논의없이, GRUB2의 수정 된 버전을 기반으로 필요한 내용을 정확하게 설명하는 기사가 있습니다.

이것의 문제점은 이러한 수정 사항이 현재 GRUB2 코드베이스에서 지원되지 않는다는 것입니다 (또는 어쩌면 내가 간과하고 있습니다).



답변

GRUB2의 현재 버전은 LUKS 파티션을로드하고 해독하는 기능을 자체적으로 지원하지 않는다고 생각합니다 (일부 암호가 포함되어 있지만 암호 지원에만 사용된다고 생각합니다). 실험 개발 브랜치를 확인할 수는 없지만 GRUB 페이지에는 원하는 작업을 구현하려는 일부 작업에 대한 힌트가 있습니다.

업데이트 (2015) : 최신 버전의 GRUB2 (2.00)에는 이미 LUKS 및 GELI 암호화 파티션에 액세스하는 코드가 포함되어 있습니다. (xercestch.com 링크는 OP가 제공 한 첫 번째 패치를 언급했지만 현재 최신 릴리스에 통합되었습니다).

그러나 보안상의 이유로 전체 디스크를 암호화하려는 경우 암호화되지 않은 부트 로더 (예 : TrueCrypt, BitLocker 또는 수정 된 GRUB)는 암호화되지 않은 /boot파티션 (위의 설명에서 JV에서 언급 한 것)보다 더 많은 보호 기능을 제공하지 않습니다. . 컴퓨터에 실제로 액세스 할 수있는 사람이라면 누구나 쉽게 사용자 정의 버전으로 교체 할 수 있습니다. xercestech.com의 기사에서도 언급했습니다.

분명히, 이것이 공격자가 부트 로더를 자신의 것으로 바꾸거나 부트 프로세스를 리디렉션하여 자신의 코드를 부팅하는 경우 시스템이 오프라인 공격에 덜 취약하게되는 것은 아닙니다. 시스템이 여전히 손상 될 수 있습니다.

전체 디스크 암호화를위한 모든 소프트웨어 기반 제품은 암호화되지 않은 부팅 로더 또는 암호화되지 않은 부팅 / 사전 부팅 파티션을 사용하더라도이 취약점이 있습니다. BitLocker와 같은 TPM (Trusted Platform Module) 칩을 지원하는 제품도 하드웨어를 수정하지 않고 루팅 할 수 있습니다.

더 나은 방법은 다음과 같습니다.

  1. BIOS 수준 (마더 보드 또는 디스크 어댑터 또는 외부 하드웨어 [스마트 카드], TPM 칩 유무에 관계없이)에서 암호를 해독하거나
  2. /boot스마트 카드 나 USB 스틱과 같은 이동식 장치에 PBA (사전 부팅 인증) 코드 ( 이 경우 파티션 )를 가지고 다니십시오 .

두 번째 방법으로 http://lfde.org/ 에서 Linux LFDE (Linux Full Disk Encryption) 프로젝트를 확인할 수 있습니다.이 스크립트는 /boot파티션을 외부 USB 드라이브 로 이동 하여 키를 암호화하여 설치 후 스크립트를 제공합니다. GPG 및 USB에 저장. 이런 식으로 부팅 경로의 약한 부분 (암호화되지 않은 /boot파티션)은 항상 당신과 함께합니다 (암호 해독 코드와 키에 물리적으로 액세스 할 수있는 유일한 사람이됩니다). ( 참고 :이 사이트는 없어졌고 저자의 블로그도 사라졌지 만 https://github.com/mv-code/lfde 에서 이전 파일을 찾을 수 있습니다 . 최근 개발은 6 년 전에 수행되었습니다.) 더 가벼운 대안으로, OS를 설치하는 동안 암호화되지 않은 부팅 파티션을 USB 스틱에 설치할 수 있습니다.

감사합니다


답변

초기 RAM 디스크 및 / boot 폴더가 암호화를 사용하지 않도록하십시오.

그러면 “최소”커널이 나타나고 암호화 된 “실제”루트 파일 시스템으로 전환하기위한 드라이버와 지원 이 제공 됩니다.

“이것은 핵이다”라고 주장하기 전에-리눅스 배포판이 오늘날 기본적으로 이런 방식으로 부팅된다. 이를 통해 시스템은 파일 시스템에서로드해야하는 모듈을 사용하여 루트 FS를 부트 및로드 할 수 있습니다. (닭고기와 달걀 문제의 일종). 예를 들어, 루트 파일 시스템이 하드웨어 RAID 볼륨에 있고 루트 FS를 마운트하기 전에 드라이버를로드해야하는 경우가 있습니다.


답변

게시 한 링크를 검토했습니다. 부팅 파티션이 없지만 하드 디스크에는 여전히 악의적 인 하녀 공격을 통해 액세스 및 손상 될 수있는 암호화되지 않은 부팅 로더가 있습니다. 하드 디스크에 암호화되지 않은 데이터가없는 비슷한 설정을 살펴 보았지만 지금까지 이동식 드라이브에서 부트 로더를 실행하는 것으로 나타났습니다.


답변

나는 그들 대부분이 믿습니다. 필요한 것은 암호화 된 HD로 OS를 설치하는 방법에 대한 지침입니다.

우분투 에는 암호화 된 파티션, LMVP, 폴더 등을 만드는 데 도움이되는 멋진 페이지가 있습니다.


답변

아뇨.

/ boot를 정말로 암호화해야합니까? 나는 의심하지 않는다. 나머지 파일 시스템은 / boot의 initramfs에 상주하고 그에 따라 프롬프트를 표시하는 일반 Linux 소프트웨어로 암호화 할 수 있습니다.


답변

불가능한 일을 요구 하고 구현숨기는 Windows 솔루션과 비교 하지만 실제로 Linux와 동일한 작업을 수행하는 것 같습니다.

내가 생각할 수있는 가장 가까운 솔루션은 보안 암호와 암호화를 구현하는 하드 드라이브를 사용하는 것입니다. 일부 Thinkpad 랩탑은 이러한 하드웨어 솔루션을 사용합니다.


답변

그 대답은 기사에서 암시합니다. “이것은 이제 다음을 지원하도록 패치 된 차세대 GRUB2 부트 로더의 확장을 통해 가능합니다.” ” GRUB2 또는 분기 된 GRUB2 소스와 함께 제공해야하는 패치 또는 확장이있는 것 같습니다.