Шифрование

Какая модель нарушителя/угроз?

физическая?

Что мешает злоумышленнику используя физический доступ просканировать память и найти все ключи шифрования?

Сысыды помрёт, трим не будет работать

необходимость изъять память в замороженном виде, чтобы сдампить её, например?

rd.luks.options=discard

Это если получат доступ уже с веденым паролем

Зашифровать рут, ядро подписать своими ключами и грузить напрямую EFI executable, включить secure boot, залить свои ключи, удалить ключи microsoft, включить TPM c pin для расшифровки рута, включить kernel lockdown. Вроде всё просто

Уже не сходиться, а кто мне расшифрует root?, uefi?)

Что не сходится? UEFI грузит ядро, в параметрах указан зашифрованный рут и tpm указан как источник ключа для расшифровки + pin как защита от кривых реализаций.

Хорошо а как все это сделать с грабом, у меня ещё винда стоит

грузить напрямую EFI executable это не поддерживается половиной кривожопых UEFI, встречается повсеместно, [url=https://bbs.archlinux.org/viewtopic.php?pid=1753169#p1753169]например на ноутбуках Dell[/url] (параметры тупо не передаются ядру и оно очевидно впадает в панику)

сделать с грабом

Граб не нужен, какой смысл от него?

Параметры ядра вбилжены в unfied kernel image. не понимаю зачем вообще извращения с bootentry нужны, UEFI надо проверить подпись и только запустить EFI на исполнение, ничего передавать и не надо.

скинь тогда маны, как подписать ядро и вбилдить туда initramfs и параметры, и как добавить tpm как метод расшифровки раздела (именно добавить к существующей passphrase, а не сделать tpm единственным возможным способом расшифровки)

Очень зависит от какие тулзы используешь. я использую archlinux, kernel_install, sbctl, mkinitcpio, systemd-cryptenroll, bootctl.

ядро https://wiki.archlinux.org/title/Unified_kernel_image

secure boot keys https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot#Creating_and_enrolling_keys

enroll ключей в tpm https://wiki.archlinux.org/title/systemd-cryptenroll

sudo systemd-cryptenroll --tpm2-device=/dev/tpmrm0 /dev/nvme0nxpx --tpm2-with-pin=true

Чтобы расшифровать ядро, надо чтобы его что-то расшифровывало. Подскажу почти идеальное решение: сосунги поддерживают полнодисковое шифрование. Вот тогда у тебя будет зашифровано все: и /boot, и все остальное. Но возникает проблема с доверием к аппаратному шифрованию. А его нет

Чтобы расшифровать ядро

какой смысл шифровать ядро? там ничего секретного нет.

Вот тогда у тебя будет зашифровано все: и /boot, и все остальное.

Шифрование /boot? что там шифруется? зачем в 2024 году /boot в отдельный раздел выделять? там хранить-то нечего.

# ls /boot/                                                                                                          
amd-ucode.img

Если модель угроз физическая, то нужно предположить что получит. Если Вы не понимаете что к чему, воспользуйтесь параметрами шифрования которые предлагает установщик по умолчанию. Если Вы хотите разобраться, начните с того, зачем нужно шифрование тех или иных частей системы.

Например, можно подключить аппаратное устройство в разъём (USB, FireWire и т п.), и, используя уязвимости оборудования, сдампить память.

Если у тебя винда стоит, то значит майкрософтовские ключи из uefi ты не удалишь и вся затея изначально обречена на провал

Шифрование (комментарий)

Ща обьясню

1)повему я хочу использовать отдельный раздел ядра и граб

Чтобы не мучиться с подписи, подписал граб и все и в раз пятилетку после обновления граб его подписывать,а каждый раз после обновления ядра и других компонентов это как помнее еще та морока + uefi самый загадычная тема что на разных девайсах работает по разному и так далее(опасно)

2)почему grub а не systemdboot

Потому что я использую openrc, да и граб показал на практике свою надежность

3)ты сказал про удаление ключа майкрософт

Не думаю что можно подпичать загрузчик виндовс чем то стороним(не проверял)

А вот с этого момента по подробнее, как раз самсуга

И что? Вы компьютер никогда не включаете?

метафизическая

Не думаю

это единственно что адекватно. Этим надо было начать и закончить тред.

Включаю, но постоянно гибернирую при переносе.

Да, выключать неавторизованный DMA в любом случае надо, но и зацикливаться на этом, как ты, смысла нет. Лучше не станет.

1)повему я хочу использовать отдельный раздел ядра и граб

ну тогда вам не повезло, граб очень плохо поддерживает полно дисковое шифрование, да и делает это медленно и криво, комментарий насчёт отдельного раздела я не понимаю, но если хочется, то конечно идите своей дорогой, но по мне всё это разделение на разделы уже ушло в прошлое. Я привёл что у меня в /boot лежит? Так что выделять отдельно его нет смысла.

а каждый раз после обновления ядра и других компонентов это как помнее еще та морока

ну ок, sbctl конечно автоматом пописывает все компоненты указанные необходимые при обновлении, но тебе видится процесс особым способом.

2)почему grub а не systemdboot Потому что я использую openrc,

openrc - init система

systemd-boot - легковесный bootloader

что может помешать использовать бутлоадер? или у тебя аллергия на всё, где есть приставка systemd?

да и граб показал на практике свою надежность

GRUB ? надёжность? Нет уж спасибо, меньше прослоек, надёжней работа. Ядро само по себе всё умеет, да и получше. да и мне надо только бинари запускать как fwupd да ядра.

Не думаю что можно подпичать загрузчик виндовс чем то стороним(не проверял)

если, используешь Windows оставь, свой дополнительно залей, я Windows не использую так что, мне оно не надо.

Вне зависимости от DMA у тебя постоянно работает не контролируемый тобой гипервизор. Если ты предполагаешь физический доступ подготовленного злоумышленника, не надо разделять включён компьютер или нет. Если просто защищаешься от хулигана или слишком любопытного обывателя, шифрования отдельных документов или домашнего каталога с паролем на вход в систему вполне достаточно.

Наверное можно винду тоже своим ключом подписать вместо или в дополнение к ms.

Если ты предполагаешь физический доступ подготовленного злоумышленника, не надо разделять включён компьютер или нет.

Не, я согласен, но все же тут ничего разумного не поделать, только самому сильнее не компрометировать, чтобы ещё и защиту от кражи не запороть.

Если просто защищаешься от хулигана или слишком любопытного обывателя, шифрования отдельных документов или домашнего каталога с паролем на вход в систему вполне достаточно.

Не определена четко threat model хулигана + еще со времен AES-NI непонятно, какой резон шифровать не все.

Получить физический доступ к включенному компу - это все же постараться надо.

Прост берешь воруешь ноутбук. Современные ноуты по сути не выключаются и сохраняют содержимое памяти

Прост берешь воруешь ноутбук. Современные ноуты по сути не выключаются и сохраняют содержимое памяти

форматируешь диск и продаёшь на avito, если кто-то таргетит ваш ноут ради инфы, модель угроз совершенно иная и шифрованием не ограничивается, для бытового уровня шифрование надо чтоб семейные фоточки не попали рандомным людям, если потерял ноут или сумку с ним умыкнули. Никто не будет хантить вас ради вашей коллекции порнухи.

Что сказать то хотел?

Аноним, ты ссыль прямо под компьютер?

Неинтересно обсуждать, как у тебя через Thunderbolt уведут содержимое RAM, потому что правильная митигация для этого — ничего не трогать. Важнее донести до ТСа, что от кражи надо X, от силовиков — Y, а от evil maid — расслабиться.