Как организовать полное шифрование Linux-системы?

Существует потребность закрыть Linux-систему от внешнего прочтения, отдав машину клиенту.

Возможно ли так зашифровать SSD с системой так, чтобы он расшифровывался _только_ при запуске самой системы? Чтобы отсутствовала возможность вынуть SSD и расшифровать его. Максимум, что я придумал - припаять USB-носитель с ключом запуска к матплате, но можно будет подключиться к контактам же и считать данные.
  • Вопрос задан
  • 3607 просмотров
Пригласить эксперта
Ответы на вопрос 4
opium
@opium
Просто люблю качественно работать
А зачем что то вынимать то?
Я могу просто когда диск расшифрован скопировать его на туже флешку.
Ответ написан
@custos
Тут нужно комплексно к делу подходить, при этом сдав ключи вместе с данными особо на много рассчитывать не стоит. Усложнить жизнь взломщику можно следующим образом:

1) Ключ вычислять из ID компонентов, либо ID компонентов использовать для проверки целостности, т.е. если что-то изменилось, то качественно всё зачистить.
2) Вместо винтов вытяжные заклепки, а в корпус датчик по вкусу (например удара) на open case, соответственно проверять при запуске.
3) Придумать какой нить "проприетарный" шнур питания, соответственно перепаяв контакты на SSD, так чтобы стандартный выводил его из стоя, или как минимум не работал.

Ну и всё в таком духе... другими словами надёжно защитить, программными средствами, данные отдавая их вместе с ключами не реально!
Ответ написан
Deerenaros
@Deerenaros
Программист, математик, задрот и даже чуть инженер
Ну... Загнули. Какие ещё ключи на флэшке?

Натягиваем раздел с линксом на LVM'е на зашифрованный раздел. Желательно, конечно, натягивать /usr (/bin с /var и /tmp тоже) и /etc, да и /boot лучше тоже в отдельное место. Большой ключ хранится на диске в зашифрованном виде каким-нибудь симметричным шифром по пассфразе. Есть ещё более продвинутый вариант с монтированием по сертификату (то есть - ЭЦП), но надеюсь, если такое потребуется, нагуглите сами.
Ответ написан
Gem
@Gem
Вам нужно то что называется смарткарта или криптотокен - полный аналог собственно TPM без пары нюансов, из плюсов - неизвлекаемые закрытые ключи
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы