__________ I'm using this express-made address because personal addresses aren't masked enough at this list's archives. Mailing lists service administrator should fix this. El 21/06/17 a les 15:26, Alex Muntada ha escrit: > Narcis Garcia: > >> No aporta gaire avantatge que sigui el GRUB o que sigui initram >> el desbloquejador de l'encriptat, comparats amb si l'arrencada >> és de disc dur o externa (USB). > > No hi estic d'acord. Això evita que el contingut de /boot es pugui > modificar sense que el sistema operatiu hagi arrencat. Si tens el > /boot en un disc extern, sense xifrar, no tens cap garantia que > no hagi estat modificat. > > La diferència rau en què modificar un ramdisk i afegir un script > que capturi la contrasenya és trivial i en canvi substituir el > grub per un de diferent que faci el mateix no ho és gens. D'aquí > que no estigui d'acord amb la teva afirmació. > > Ara bé, si vols tenir el /boot en un disc extern i també xifrat, > aleshores d'acord. > >> Al cap i a la fi parlem de programari que ha de ser fora de >> l'encriptat per tal que la BIOS o EFI l'executi. > > En aquest cas, potser també et pot interessar signar digitalment > el GRUB perquè l'EFI verifiqui la signatura en l'arrencada. > > Salut, > Alex >
Posats a distingir la dificultat entre manipular el /boot i el GRUB, (o la confiança que es dispositi en EFI), hi ha una manera molt més segura: L'arrencada externa en un CD-R. De ben segur que ningú no te la modifica, i a partir de CD (que desbloquegi LUKS) saltes a l'inici normal de l'ordinador. És una llàstima que el mercat estigui arraconant la possibilitat de gravar mitjans de només lectura.