Witam
Dotychczas uzywalem windows7 + veracrypt dla FDE
Czy istnieje podobne 100% rozwizanie w debianie ?
Przegladajac forum https://forum.dug.net.pl/viewtopic.php? ... 62#p298062
okazuje sie ze rozwiazanie FDE podczas instalacji systemu Debian nie zapewnia 100% skutecznosci szyfrowania(..??). Z tego co jest tam napisanie jeszcze dodatkowo by trzeba zaszyfrowac /boot/ zeby ktos nie odczytal mojego hasla albo przenesienie headersow na pendrive(i co mam go chowac czy tez ponownie zaszyfrowac), troche to bez sensu w porownaniu do fde z veracrypt 'a.
Pewnie cos mieszam w rozumowaniu ale tak to rozumiem.
Znacie jakies dobre rozwiazanie do fde na debianie, najlepiej z poradnikiem jak to zrobic?
FDE Full-Disk Encryption podczas instalacji
Re: FDE Full-Disk Encryption podczas instalacji
Veracrypt też nie szyfruje całego dysku, bo musi gdzieś przechowywać swój kod do uruchomienia systemu.
Co takiego ważnego - i dlaczego - trzymasz w katalogu /boot, że chcesz go szyfrować? Hasło masz w głowie a nie na dysku. Nagłówki i inne istotne rzeczy zapisywane są na dysku niezależnie od oprogramowania szyfrującego. Najważniejsze jest hasło i klucz wygenerowany dzięki niemu. Dopóki jesteś w stanie zapewnić poufność tym dwóch rzeczom, jesteś bezpieczny.
Co takiego ważnego - i dlaczego - trzymasz w katalogu /boot, że chcesz go szyfrować? Hasło masz w głowie a nie na dysku. Nagłówki i inne istotne rzeczy zapisywane są na dysku niezależnie od oprogramowania szyfrującego. Najważniejsze jest hasło i klucz wygenerowany dzięki niemu. Dopóki jesteś w stanie zapewnić poufność tym dwóch rzeczom, jesteś bezpieczny.
Re: FDE Full-Disk Encryption podczas instalacji
Ciężko zapewnić poufność czemuś, gdy obraz initrd/initramfs obecny na partycji /boot/ pozostaje w formie niezaszyfrowanej i podatnej na nieautoryzowane zmiany, których nie da się wykryć... xD
Re: FDE Full-Disk Encryption podczas instalacji
Problem "wścibskiej pokojówki" znany jest od lat i dotyczył także BitLockera i TruCrypta. Nie wiem, czy dla tych dwóch coś się zmieniło.Masz jakąś propozycję, oprócz TPM-a i trzymania /boot w drugiej kieszeni spodni?
Re: FDE Full-Disk Encryption podczas instalacji
No można by się pobawić w podpisy GPG w grub mając EFI/UEFI:
https://ruderich.org/simon/notes/secure ... and-initrd
Z tego opisu wychodzi, że można by zweryfikować kernel, obraz initrd/initramfs, bootloader i jego konfigurację. Oczywiście to tylko w przypadku, gdy się nie będzie szyfrować /boot/ , bo grub oferuje taką funkcjonalność ale tylko w przypadku LUKSv1. Jak coś to tutaj jest drugi wątek tej dyskusji.
Choć ja jednak wolę odpalać swojego kompa z zaufanego urządzenia, jakim jest mój zaszyfrowany fon, który mam zawsze ze sobą. W ten sposób nawet kompa mogę zostawić bez opieki i nic wielkiego się nie stanie.
https://ruderich.org/simon/notes/secure ... and-initrd
Z tego opisu wychodzi, że można by zweryfikować kernel, obraz initrd/initramfs, bootloader i jego konfigurację. Oczywiście to tylko w przypadku, gdy się nie będzie szyfrować /boot/ , bo grub oferuje taką funkcjonalność ale tylko w przypadku LUKSv1. Jak coś to tutaj jest drugi wątek tej dyskusji.
Choć ja jednak wolę odpalać swojego kompa z zaufanego urządzenia, jakim jest mój zaszyfrowany fon, który mam zawsze ze sobą. W ten sposób nawet kompa mogę zostawić bez opieki i nic wielkiego się nie stanie.
Re: FDE Full-Disk Encryption podczas instalacji
Poniżej zamieszczam link do tutoriala, który co prawda dotyczy instalacji FDE Linux Mint 19.3, ale może będzie w jakiś sposób pomocny.
https://docdro.id/5wdBWxR
https://docdro.id/5wdBWxR