Es kommt darauf an:Sie möchten ein DRM-Schema implementieren. Viele vor Ihnen haben es versucht, alle sind gescheitert. Es ist nicht möglich, Benutzern etwas (Hardware, Daten) zu überlassen und sie an einer unbeabsichtigten Verwendung oder Vervielfältigung zu hindern. Man kann es schwerer machen, aber man kann es nicht verhindern. Andere mit mehr Ressourcen als Sie haben es versucht (z. B. Sony, Microsoft, Nintendo, um Raubkopien von Konsolenspielen zu verhindern) und am Ende war alles kaputt.
Laut meiner vorherigen Antwort, Vorschlag von @logneck und ein bisschen google-fu
, bin ich zu dem Schluss gekommen, dass es möglich ist, das in der Frage geforderte Schema mit umzusetzen verfügbaren Tools und viel Geduld/Expertise. Dieser Ansatz sollte die Anforderung des OP erfüllen, ist jedoch nur eine Designanleitung, da er eine Reihe von Nachteilen/Fallstricken aufweist. Es wird dem OP helfen, sich gegen die Naiven zu verteidigen Angreifer, der versucht, Daten von der verschlüsselten Festplatte zu kopieren.
Meine bisherige Idee, einen TPM-Chip zu verwenden, bleibt gültig. Diese Anleitung, die ich nie habe versucht, zeigt an, wie die Festplatte verschlüsselt werden kann, ohne ein Passwort eingeben zu müssen, und indem verhindert wird, dass jemand die Daten auf einem anderen Computer entschlüsselt.
Das TPM ist normalerweise in das Motherboard eingebettet und kann daher nicht auf andere Hardware verschoben werden. TPM führt einen Hardwarenachweis durch, sodass Sie überprüfen können, ob die Hardwareumgebung konform ist und keine Karte eines Drittanbieters in Ihr Mobo eingesteckt wurde.
Wenn der Hardwarenachweis bestanden wird, entsperrt sich das TPM selbst. Dann kann das LUKS-Modul das TPM nach dem Verschlüsselungsschlüssel der Festplatte anfordern, der im entsperrten TPM gespeichert ist.
Wenn die Festplatte auf einen anderen Computer verschoben wird, haben Sie den Schlüssel nicht mehr bei sich.
Wie in der Anleitung beschrieben, beinhaltet der Prozess:
- Installation der Distribution Ihrer Wahl
- Übernehmen Sie den Besitz des TPM-Chips mit
trousers
undtpm-tools
- Installieren Sie
trustedgrub2
und als Bootloader verwenden - Fügen Sie den LUKS-Entschlüsselungsschlüssel zum TPM hinzu
- Siegel das TPM
Das Versiegeln des TPM bedeutet einen Hardwarenachweis. Die Anleitung, die ich verlinkt habe, spricht von BIOS-Boot anstelle von UEFI (UEFI-Benutzer sind mit dem Konzept des sicheren Bootens vertraut). Grundsätzlich trustedgrub2
wird messen die Software. Dies kann vereinfacht werden, indem Prüfsummen für den Kernel erstellt werden, um sicherzustellen, dass er nicht verändert wird. TPM wird auch messen Hardware, um zu überprüfen, dass keine andere PCI-Karte oder ähnliches installiert wurde, seit TPM versiegelt wurde.
Während des Startvorgangs, wenn die Hardware nicht berührt/manipuliert wurde, und der bootende Kernel ist derselbe, der das TPM versiegelt hat, dann gibt TPM den geheimen LUKS-Schlüssel an das System aus, damit das System sich selbst entschlüsseln kann.
Ergebnis:1) Die Festplatte ist verschlüsselt, 2) Beim Booten ist kein Passwort erforderlich, sodass der Benutzer die Maschine jederzeit neu starten kann, und 3) Der Schlüssel kann von einem Benutzer nicht wiederhergestellt werden, da er sich im Hardwarespeicher befindet.
Beachten Sie, dass diese Lösung, ähnlich wie Microsoft BitLocker, nicht perfekt ist und die gleichen Sicherheitsfallen aufweist wie die Lösung von Microsoft. Tatsächlich wurde BitLocker, das nur von TPM und nicht von PIN unterstützt wird, wiederholt wegen seiner schwächeren Sicherheit kritisiert, worauf ich hier nicht eingehen werde.