GNU/Linux >> LINUX-Kenntnisse >  >> Linux

So verwenden Sie FDE, ohne das Verschlüsselungspasswort weitergeben zu müssen

Es kommt darauf an:Sie möchten ein DRM-Schema implementieren. Viele vor Ihnen haben es versucht, alle sind gescheitert. Es ist nicht möglich, Benutzern etwas (Hardware, Daten) zu überlassen und sie an einer unbeabsichtigten Verwendung oder Vervielfältigung zu hindern. Man kann es schwerer machen, aber man kann es nicht verhindern. Andere mit mehr Ressourcen als Sie haben es versucht (z. B. Sony, Microsoft, Nintendo, um Raubkopien von Konsolenspielen zu verhindern) und am Ende war alles kaputt.


Laut meiner vorherigen Antwort, Vorschlag von @logneck und ein bisschen google-fu , bin ich zu dem Schluss gekommen, dass es möglich ist, das in der Frage geforderte Schema mit umzusetzen verfügbaren Tools und viel Geduld/Expertise. Dieser Ansatz sollte die Anforderung des OP erfüllen, ist jedoch nur eine Designanleitung, da er eine Reihe von Nachteilen/Fallstricken aufweist. Es wird dem OP helfen, sich gegen die Naiven zu verteidigen Angreifer, der versucht, Daten von der verschlüsselten Festplatte zu kopieren.

Meine bisherige Idee, einen TPM-Chip zu verwenden, bleibt gültig. Diese Anleitung, die ich nie habe versucht, zeigt an, wie die Festplatte verschlüsselt werden kann, ohne ein Passwort eingeben zu müssen, und indem verhindert wird, dass jemand die Daten auf einem anderen Computer entschlüsselt.

Das TPM ist normalerweise in das Motherboard eingebettet und kann daher nicht auf andere Hardware verschoben werden. TPM führt einen Hardwarenachweis durch, sodass Sie überprüfen können, ob die Hardwareumgebung konform ist und keine Karte eines Drittanbieters in Ihr Mobo eingesteckt wurde.

Wenn der Hardwarenachweis bestanden wird, entsperrt sich das TPM selbst. Dann kann das LUKS-Modul das TPM nach dem Verschlüsselungsschlüssel der Festplatte anfordern, der im entsperrten TPM gespeichert ist.

Wenn die Festplatte auf einen anderen Computer verschoben wird, haben Sie den Schlüssel nicht mehr bei sich.

Wie in der Anleitung beschrieben, beinhaltet der Prozess:

  • Installation der Distribution Ihrer Wahl
  • Übernehmen Sie den Besitz des TPM-Chips mit trousers und tpm-tools
  • Installieren Sie trustedgrub2 und als Bootloader verwenden
  • Fügen Sie den LUKS-Entschlüsselungsschlüssel zum TPM hinzu
  • Siegel das TPM

Das Versiegeln des TPM bedeutet einen Hardwarenachweis. Die Anleitung, die ich verlinkt habe, spricht von BIOS-Boot anstelle von UEFI (UEFI-Benutzer sind mit dem Konzept des sicheren Bootens vertraut). Grundsätzlich trustedgrub2 wird messen die Software. Dies kann vereinfacht werden, indem Prüfsummen für den Kernel erstellt werden, um sicherzustellen, dass er nicht verändert wird. TPM wird auch messen Hardware, um zu überprüfen, dass keine andere PCI-Karte oder ähnliches installiert wurde, seit TPM versiegelt wurde.

Während des Startvorgangs, wenn die Hardware nicht berührt/manipuliert wurde, und der bootende Kernel ist derselbe, der das TPM versiegelt hat, dann gibt TPM den geheimen LUKS-Schlüssel an das System aus, damit das System sich selbst entschlüsseln kann.

Ergebnis:1) Die Festplatte ist verschlüsselt, 2) Beim Booten ist kein Passwort erforderlich, sodass der Benutzer die Maschine jederzeit neu starten kann, und 3) Der Schlüssel kann von einem Benutzer nicht wiederhergestellt werden, da er sich im Hardwarespeicher befindet.

Beachten Sie, dass diese Lösung, ähnlich wie Microsoft BitLocker, nicht perfekt ist und die gleichen Sicherheitsfallen aufweist wie die Lösung von Microsoft. Tatsächlich wurde BitLocker, das nur von TPM und nicht von PIN unterstützt wird, wiederholt wegen seiner schwächeren Sicherheit kritisiert, worauf ich hier nicht eingehen werde.


Linux
  1. So verwenden Sie den Linux-Grep-Befehl

  2. So verwenden Sie den Verlaufsbefehl unter Linux

  3. So ändern Sie den Hostnamen Ihres Linux-Rechners, ohne neu starten zu müssen

  4. Wie verwende ich den basename-Befehl?

  5. Wie verwenden Sie sips am Terminal, um die Größe eines Bildes ohne Hochskalierung zu ändern?

So verwenden Sie den obersten Befehl unter Linux

So verwenden Sie den Linux-Ping-Befehl

So verwenden Sie den nmap-Befehl

So überprüfen Sie die Passwortkomplexität in Linux

So führen Sie Sudo-Befehle ohne Passwort aus

So verwenden Sie den fd-Befehl auf einem Linux-System