A parte quanto ti ha già detto Igor sulla disponibilità di TPM su dispositivi IoT, dipende alla fine da quali minacce ti aspetti: tutte queste soluzioni sono per la protezione dagli accessi fisici (il disco cifrato a basso livello non serve a niente per gli attacchi online), e quindi dipende da chi ha accesso fisico e come. La chiavetta USB, se "non c'è nessuno al terminale", la dovresti lasciare lì, e quindi è potenzialmente sostituibile/copiabile. Il TPM di principio dovrebbe poter funzionare senza password all'avvio (basterebbe la password per la modifica alla configurazione, la chiave di cifratura la prende dalla sua memoria protetta, ma non ho idea se questa cosa sia implementata, perché l'uso è principalmente per PC/portatili.
On 09/04/2017 02:41 PM, Iceman wrote: > L'idea mi piace. :-) > Il contesto nel quale dovrei però applicarlo (device IoT) non rende > agevole l'uso di penne USB... > > Mi sembra, quindi, di capire che quanto oggi fattibile sia indicato nel > link che riportava Claudio > https://community.spiceworks.com/topic/1970944-tpm-luks-bitlocker-full-disk-encryption-for-linux > <https://community.spiceworks.com/topic/1970944-tpm-luks-bitlocker-full-disk-encryption-for-linux> > > Giusto? > > Grazie mille! > > Il giorno 4 settembre 2017 10:31, Igor Falcomata' <[email protected] > <mailto:[email protected]>> ha scritto: > > On Mon, Sep 04, 2017 at 10:06:52AM +0200, Nicola Bressan wrote: > > > Mi aggancio alla discussione perché tempo fa avevo pensato di mettere in > > piedi qualcosa di simile, ma poi non ho avuto tempo di approfondire e se > > qualcuno ha già qualche link ben venga... :) > > > > praticamente mi interessava fare una macchina linux con full disk > > encryption e chiave di crittazione su penna USB che una volta rimossa > > rendeva il sistema non avviabile...qualche dritta? > > Un risultato simile (migliore?) lo ottieni semplicemente *non* mettendo > una partizione /boot in chiaro sul disco fisso e lasciando kernel e > initrd su una penna USB bootabile; lo realizzi facilmente con qualsiasi > distribuzione che supporti FDE (initrd+LUKS+lvm), io l'ho fatto sia con > slackware che alpine linux che openbsd. > > Poi a te la scelta se usare una password di luks "manuale" o lasciarla > (in chiaro!!) sulla penna usb. > > ciao, > I. > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > > > > -- > Santino Nocera > Security Engineer > http://www.linkedin.com/in/santinonocera -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
