Шифрование диска без входа в систему для ввода пароля
Вы можете использовать клавишу F3Searchдля перехода к следующему вхождению элемента поиска. Это работает независимо от того, инициируете ли вы поиск с помощью / или F3 . Только не нажимайте Return , иначе F3 начнет новый поиск вместо продолжения предыдущего.
Вы хотите, чтобы ваши данные были доступны для чтения для запуска вашего приложения и отображения его с помощью этого одного скрипта, но вы не хотите, чтобы люди могли читать ваши данные, если у них есть доступ к машине и они могут извлечь жесткий диск.
Шифрование может помочь, но только если ключа нет на диске. Так что забудьте про автомонтирование :, оно вам не поможет. Если ключ находится на диске, вы не получаете никакой безопасности по сравнению с оставлением данных незашифрованными.
Если ключа нет на диске, то где он может быть?
- Ключ может быть получен из пароля. Но тогда кому-то нужно ввести пароль во время загрузки. dm -crypt будет проще настроить для этого, чем ecryptfs :ecryptfs предназначен для многопользовательской системы, так что каждый пользователь имеет свой собственный ключ шифрования, тогда как dm -crypt предназначен для шифрования целый диск или раздел.
- Ключ может находиться на другом съемном оборудовании, которое не остается постоянно подключенным к компьютеру. Самое простое решение — использовать dm -crypt и файл ключа на USB-накопителе или SD-карте. Опять же, кто-то должен присутствовать во время загрузки, чтобы вставить диск, содержащий ключ.
- Ключ может находиться на другом оборудовании, постоянно подключенном к компьютеру. Но тогда вам нужно помешать злоумышленнику загрузиться с другого диска, восстановить ключ, а затем расшифровать исходный диск. Или загрузиться с другого диска, изменить загрузочный код на существующем диске, чтобы добавить программу, которая будет экспортировать данные или разрешить вход без пароля, а затем загрузиться с исходного диска. Итак, вам нужна некоторая форма безопасной загрузки . (Это безопасная загрузка, как в у вас есть ключи и вы можете управлять тем, что работает на вашем компьютере, в отличие от безопасной загрузки, поскольку производитель имеет ключи и не позволяет вам установить операционную систему по вашему выбору..)
Если вы не хотите полагаться только на физическую безопасность, (поместите компьютер в запертый ящик, который нельзя открыть без электроинструмента ), и вы не хотите, чтобы кто-то вмешивался каждый раз. когда компьютер запускается, безопасная загрузка является единственным решением.
Это означает, что вам нужен ПК с TPM , которым вы можете управлять, или плата Arm с безопасной загрузкой, которой вы можете управлять (. возможность запуска вашего приложения на телефоне Android с безопасной загрузкой или на iPhone ).
Как указал Жиль, вам, очевидно, нужен ключ где-то , и если вы хотите, чтобы этот процесс был автоматизирован без ввода пароля и без необходимости вручную вставлять внешний USB-накопитель, то вам по существу нужен TPM или эквивалентное устройство.
Чтобы быть более точным, вам технически не нужна безопасная загрузка . Я думаю, что эта фраза иногда используется широко, но в этом контексте я имею в виду функцию безопасности загрузки -up спецификации UEFI, отвечающую за проверку цифровых подписей над компонентами в цепочке загрузки. На самом деле безопасная загрузка и TPM полностью независимы. Безопасную загрузку можно использовать без TPM, а TPM можно использовать без безопасной загрузки или их можно использовать одновременно.
Кроме того, доверенные платформенные модули чаще используются с аналогичной технологией для безопасной загрузки, называемой доверенной загрузкой , но также не требуется использовать доверенную загрузку с доверенным платформенным модулем, хотя это расширяет ваши возможности в с точки зрения того, какие компоненты в системе могут быть связаны с вашей цепочкой доверия и, таким образом, их целостность играет роль в определении того, будет ли TPM передавать секреты какой-либо части программного обеспечения, запрашивающей их.
В очень, очень кратком изложении, в котором опущены многие фактические детали, TPM получает SHA -1 и/или SHA -256 хеш-дайджестов (в зависимости от версии TPM )или . измерения над программными компонентами в системе при загрузке машины. Они накапливаются во внутренних регистрах TPM, называемых PCR, или регистрами конфигурации платформы. Природа того, для каких компонентов измеряется их прошивка/программное обеспечение, во многом зависит от поддержки всей этой парадигмы различными компонентами вашей системы, но, по сути, вы получаете множество измерений, которые затем можно использовать для блокировки различных секретов через возможности, предлагаемые модулем TPM. Например,ключ может быть записан в NVRAM TPM и заблокирован для определенного набора этих измерений, так что TPM не разрешит доступ для чтения, если только точный набор и их значения не совпадают с тем, что присутствовало или указано на момент записи. Есть и другие способы, это лишь краткое изложение.
Однако на практике это означает, что вам нужно написать немного программного обеспечения или использовать что-то существующее , чтобы обращаться к TPM и получать от него секреты, а затем использовать их для любых целей, которые вам нужны, например, для расшифровки раздела LUKS.