Можно ли так зашифровать компьютер?

Question

[Brew]

Можно ли как-то зашифровать компьютер так, чтобы условно при запуске он брал ключ из другого сетевого компьютера или облака ?

Answer 1

[Владимир Куц]

К примеру если Windows стартует из контейнера под управлением Linux - запросто...

Comments

[Danilich123]

А в чем преимущество дайной шифровки?

[Владимир Куц]

Danilich123, простота реализации

Answer 2

[mayton2019]

Непонятно какая тут решается проблема. Если нужно просто что-то не держать локально то для этого есть удалённые десктопы.

Я не считаю что хранение ключей доступа где-то более безопасно чем локально, пока мы не обсудили протокол их получения. Также полезно обсудить модель потенциальной угрозы. С чем мы боремся?

Answer 3

[Drno]

зачем? паяльник в *опу никто не отменял..
да и проще тогда уж VPS арендовать)

Answer 4

[VoidVolker]

Да, можно.

Answer 5

[rPman]

тупой пример реализации - загрузка по сети, где сервером выступает этот второй компьютер и отвечает за раздачу загрузчика, внутри которого закладывается минимальный ssh сервер, к которому подключается пользователь, вводит пароль/загружает ключ расшифровки локального диска и запускает с него загрузку.

в зависимости от поддержки железом можно и windows так запустить, ну а linux и подавно чуть ли не штатно так настраивается

p.s. сценарий атаки на эту схему - подмена загрузчика на целевой машине на гипервизор, анализирующим легтимный загрузчик.
Стоимость атаки очень дорогая (однозначно дороже аппаратного кейлогера для типовых схем с шифрованием диска), поэтому такая схема имеет место быть.

Атаку можно сделать еще более дрогой, если защищаемый компьютер позволяет подписывать своим ключом загрузчик (тогда чужой с гипервизором запустить не сможет), в этом случае остается очень дорогой способ подмены железа на специализированное (например pci устройства имеют прямой доступ к памяти машины).

Comments

[mayton2019]

Обычный десктоп пока безопаснее чем этот огород.

[CityCat4]

Стоимость атаки не имеет смысла обсуждать до формирования модели нарушителя. Если в ней присутствует государство - все эти хитовывернутые штуки не имеют никакого смысла. Вы сами все расскажете имея перед глазами готовый к применению терморектальный криптоанализатор ;)

[rPman]

Само собой, безопасность это комплекс мер, и програмно-аппаратные только часть, но ... вы вопрошающего видите? может он сформулировать 'модель нарушителя'?

Т.е. задача защитить свои данные есть, но когда обыватель приходит с вопросами, вместо ответов ему тыкают носом и многозначительно заявляют - иди нахер, вам не кажется что это немного не вежливо?

О модели нарушителя я догадаюсь и сам, схема что я описал наиболее доступна для большинства, многое подразумевается, типа ну само собой если дело дошло до паяльника это не поможет и т.п. но как минимум защититься от друга васи хакера - вполне, даже если он имеет прямой доступ к железу (про доступ по сети - совсем другой разговор, никак не связанный с описанной моделью)