id: Гость   вход   регистрация
текущее время 21:40 09/12/2019
создать
просмотр
ссылки

Шифровка дуалбута и вынос grub на флешку


Если во врeмя установки систeм – загрузку Windows зашифровать Veracrypt, а Linux зашифровaть LUKS, a в кaчестве диска кудa нужно записать GRUB выбрaть флeшку, то тaкой вариант можно считaть защищенным от взлома и экспертизы при учете, что флешка с GRUB была уничтожена?


 
Комментарии
— SATtva (22/02/2019 11:26)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
GRUB — это загрузчик, он не представляет ценности. На стираемый носитель должны быть записаны ключи.
— atali43 (23/02/2019 10:49)   профиль/связь   <#>
комментариев: 5   документов: 3   редакций: 0
Я имею ввиду ситуацию когда диск зашифрован, а к загрущику доступа нет.
Если есть доступ к пк, то к примеру в GRUB можно записать снифер
— SATtva (23/02/2019 11:03)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Загрузчик, как таковой, не несёт ключевой информации (то есть уничтожение внешнего носителя с загрузчиком не лишит противника возможностей доступа к содержимому диска). Если есть доступ к ПК, то не менее вероятна установка аппаратного сниффера. Возможно, я не понимаю вашу модель угрозы, но предложенная мера не очень эффективна.
— atali43 (25/02/2019 17:55)   профиль/связь   <#>
комментариев: 5   документов: 3   редакций: 0
Просто интересует: если в момент "Х", когда злодеи доберуться к ПК обе ОС будут зашифрованны, пароли расшифровки утерянны, загрузчик GRUB на флешке уничтожен. В итоге при запуске ПК будет появляться только загрузчик Veracrypt без возможности переключиться на загрузчик GRUB. Тоесть доступ к дискам у них будет, но вот возможности расшифровать нет. Пароли от 20 символов. Тaкой вариант можно считaть защищенным от экспертизы?
— SATtva (25/02/2019 18:17)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Я вам уже дважды повторил, что GRUB не содержит в себе ключевой информации, это просто загрузчик. Если его нет на диске, ничто не мешает записать новый или использовать его с внешнего носителя. Короче говоря, наличие или отсутствие GRUB влияет на безопасность довольно незначительно (если вы используете загрузчик с внешнего носителя, то, как вы отметили, его труднее затроянить, но риск установки аппаратного сниффера остаётся). Интерес представляет только мастер-ключ (зашифрованный вашим паролем), но он обычно записан в заголовок LUKS непосредственно на диске. Veracrypt работает по примерно такому же принципу.

В конечном счёте безопасность дисков упирается в надёжность ваших паролей, если только вы специально не выносили на внешний носитель дополнительный ключевой материал: в Linux это, как правило — ключ GPG, которым зашифровывается пароль для мастер-ключа LUKS. Такой GPG-ключ действительно можно сохранить на флешку и при необходимости уничтожить, что сделает информацию на диске недоступной для любого анализа.
— atali43 (26/02/2019 14:05)   профиль/связь   <#>
комментариев: 5   документов: 3   редакций: 0
Спасибо. Не подскажите как вынести ключ GPG на флешку? Возможно ли вынести и загружчик и ключ на одну и туже флешку или нужны две разных?
— SATtva (26/02/2019 15:38)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092

Набор инструкций может отличаться в зависимости от Linux-дистрибутива. К примеру, вот вариант для Debian (он немного усложнён использованием смарт-карты вместо флэшки для хранения ключей). Гуглите, инструкций в сети уйма.


Можно на одну.
Общая оценка документа [показать форму]
страница еще не оценена