GRUBを含む暗号化されていない/bootパーティションとLinuxを含む暗号化されたパーティションがあります。暗号化されたパーティションを読み取ろうとする攻撃者は、物理的に自分のコンピュータにアクセスし、暗号化されていないGRUBを修正して次にLinuxを起動し、暗号化されたパスワードを入力すると、パスワードがインターネットに直接アップロードされるか、少なくとも暗号化されていない状態でディスクに保存されます.することができます。
私はこの種の攻撃から保護する方法を見つけました。コンピュータを起動する前に、USBドライブから起動してGRUBの整合性を確認できました。しかし、GRUBが頻繁に変わるので、それほど単純ではなく、GRUBパーティションでのみハッシュを計算することはできません。
誰でも他のアイデアを提供できますか?
ベストアンサー1
USBドライブに起動ファイルをインストールし、定期的に起動するたびに使用できます。これにより、ディスク全体を暗号化できます。
カーネルがロードされたら、USBドライブをマウント解除できます。カーネルの更新(ドライブに新しいカーネルをインストールする)または起動構成の変更中にのみインストールが必要です。または、システムで暗号化されたブートパーティションを維持し、それを手動でUSBディスクに同期させることもできます。 USBドライブが破損したり紛失した場合でも、簡単に回復できます。