Шифровка дуалбута и вынос grub на флешку
Если во врeмя установки систeм – загрузку Windows зашифровать Veracrypt, а Linux зашифровaть LUKS, a в кaчестве диска кудa нужно записать GRUB выбрaть флeшку, то тaкой вариант можно считaть защищенным от взлома и экспертизы при учете, что флешка с GRUB была уничтожена?
Ссылки
[link1] https://wiki.majic.rs/Openpgp/protecting_luks_decryption_key_in_debian_jessie_us/
GRUB — это загрузчик, он не представляет ценности. На стираемый носитель должны быть записаны ключи.
Я имею ввиду ситуацию когда диск зашифрован, а к загрущику доступа нет.
Если есть доступ к пк, то к примеру в GRUB можно записать снифер
Загрузчик, как таковой, не несёт ключевой информации (то есть уничтожение внешнего носителя с загрузчиком не лишит противника возможностей доступа к содержимому диска). Если есть доступ к ПК, то не менее вероятна установка аппаратного сниффера. Возможно, я не понимаю вашу модель угрозы, но предложенная мера не очень эффективна.
Просто интересует: если в момент "Х", когда злодеи доберуться к ПК обе ОС будут зашифрованны, пароли расшифровки утерянны, загрузчик GRUB на флешке уничтожен. В итоге при запуске ПК будет появляться только загрузчик Veracrypt без возможности переключиться на загрузчик GRUB. Тоесть доступ к дискам у них будет, но вот возможности расшифровать нет. Пароли от 20 символов. Тaкой вариант можно считaть защищенным от экспертизы?
Я вам уже дважды повторил, что GRUB не содержит в себе ключевой информации, это просто загрузчик. Если его нет на диске, ничто не мешает записать новый или использовать его с внешнего носителя. Короче говоря, наличие или отсутствие GRUB влияет на безопасность довольно незначительно (если вы используете загрузчик с внешнего носителя, то, как вы отметили, его труднее затроянить, но риск установки аппаратного сниффера остаётся). Интерес представляет только мастер-ключ (зашифрованный вашим паролем), но он обычно записан в заголовок LUKS непосредственно на диске. Veracrypt работает по примерно такому же принципу.
В конечном счёте безопасность дисков упирается в надёжность ваших паролей, если только вы специально не выносили на внешний носитель дополнительный ключевой материал: в Linux это, как правило — ключ GPG, которым зашифровывается пароль для мастер-ключа LUKS. Такой GPG-ключ действительно можно сохранить на флешку и при необходимости уничтожить, что сделает информацию на диске недоступной для любого анализа.
Спасибо. Не подскажите как вынести ключ GPG на флешку? Возможно ли вынести и загружчик и ключ на одну и туже флешку или нужны две разных?
Набор инструкций может отличаться в зависимости от Linux-дистрибутива. К примеру, вот[link1] вариант для Debian (он немного усложнён использованием смарт-карты вместо флэшки для хранения ключей). Гуглите, инструкций в сети уйма.
Можно на одну.