On Mon, Sep 04, 2017 at 11:04:58AM +0200, Nicola Bressan wrote:
> > Un risultato simile (migliore?) lo ottieni semplicemente *non* mettendo
> > una partizione /boot in chiaro sul disco fisso e lasciando kernel e
> > initrd su una penna USB bootabile; lo realizzi facilmente con qualsiasi
> > distribuzione che supporti FDE (initrd+LUKS+lvm), io l'ho fatto sia con
> > slackware che alpine linux che openbsd.
>
> Una domanda, ma così facendo avrei le partizioni in chiaro sul sistema,
> giusto?
Come ti hanno già risposto anche altri, ovviamente no, le partizioni
devi tenerle *cifrate* (in un unico container LUKS+LVM per esempio).
> Mentre io vorrei che togliendo il supporto con la chiave il sistema fosse
> non avviabile e i dati in esso contenuti, illeggibili..
Per questo è sufficiente (luks e altri sistemi di FDE lo supportano)
memorizzare la chiave su una chiavetta USB; il problema è se/come
cifrare a sua volta questa chiave *anche* sul dispositivo.
Smanacciando con l'initrd e l'init contenuto & co. puoi fare più o meno
quello che vuoi (es. usare gpg, usare una smart-card, usare una
usb-armory o simile, etc.).
Non conosco distribuzioni che permettano di fare FDE con una USB key o
una smart-card esterna di default dall'installer, ma il fatto che io non
le conosca non implica che non ci siano :)
Poi dipende molto da cosa vuoi ottenere tu, nel senso, da che scenari di
attacco ipotetici o reali ti vuoi difendere.
> forse non mi ero spiegato completamente prima :)
Il sistema che suggerivo io, non avendo la partizione di boot in chiaro
(che è una delle parti più deboli in una postazione di lavoro con
FDE[1], da cui la richiesta di altri utenti di proteggere il processo di
boot tramite TPM) rende ancora più robusto[2] - a fronte di un certo
sbattimento - il meccanismo, sia che tu utilizzi una password da
digitare, sia che la utilizzi da una chiavetta USB.
Poi ovviamente, *conoscendo* (o indovinando) la password, puoi montare
il filesystem anche senza la partizione di /boot relativa.
[1]: vedi p. es.
https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html
https://en.wikipedia.org/wiki/Rootkit#bootkit
[2]: ovviamente se uno sa che usi una chiavetta USB per il boot, può -
sottraendoti la postazione di lavoro e restituendola senza che tu te ne
accorga - riscrivere la parte di boot in modo che *simuli* di partire
dalla tua chiavetta USB mentre in realtà ti presenta solo esattamente la
stessa interfaccia per sottrarti le credenziali.
ciao,
I.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
