すべてのクライアントに完全なディスク暗号化を実装したいと思います。しかし、人々が起動時にFDEアクセスコードを入力するのを防ぐために、アクセスコードをDHCPなどを介して配布できるかどうかを知りたいです。
ラップトップが盗まれたり会社外で使用されている場合は、FDEがラップトップを保護する必要があるという概念ですが、会社のネットワークで使用されている場合は盗まれていないとします。
理想的には、アクセスコードがワンタイムアクセスコードになることを願っています。したがって、誰かがDHCP応答をスニッフィングしても、通常はラップトップの復号化はできません。
ベストアンサー1
これにはカスタムInitramfsの作成や少なくともフックの作成が含まれる可能性が高いため、次のリソースが興味深いことがあります(Gentoo関連のビットを無視)。
- https://wiki.gentoo.org/wiki/Custom_Initramfs
- https://wiki.gentoo.org/wiki/Custom_Initramfs#DHCP
- https://wiki.gentoo.org/wiki/Custom_Initramfs/Examples#Self-Decrypting_Server
自己復号化サーバーの例では、次の暗号化キーが生成されます。
(
# CPU:
grep -vE '(MHz|bogomips)' /proc/cpuinfo
# RAM:
tail /proc/iomem
# MAC-Address: (requires network drivers)
cat /sys/class/net/*/address
# Block devices and partitions (ignore optional CD drive):
grep -v sr0 /proc/partitions
# Random file:
cat /root/secret
) | sha512sum | xargs echo -n > /root/key
これは、誰かがサーバーを通過してハードドライブを取り出すのを防ぐためです。 HDD自体はサーバーのCPU、RAM、MACアドレスを知らないため、自分が属するボックスの外側でそれ自体を復号化することはできません。
泥棒がこれらのデータをすべて持っていて、それをDHCPデータに置き換える必要があるため、ラップトップ(デバイス全体が盗まれた)の場合はあまり役に立ちません。
したがって、DHCPなどを介してIPアドレスを取得すると、次のようになります。
(
cat /sys/class/net/*/address
ip addr show
ip route show
cat /etc/resolv.conf
) | sha512sum | xargs echo -n > /root/key
これにより、MACアドレス、IPアドレス、ルーティング、DNSサーバーなどに基づいてハッシュ/パスワードが提供されます。
ノートブックが常に同じ方法で設定されている限り、DHCPは機能するため、DHCPサーバーは常にノートブックの構成を覚えておく必要があります。それ以外の場合、ノートブックは起動を停止します。
このような解決策は常に多少不安定であるため、複数のパスワードフレーズをサポートするLUKSを使用し、DHCPパスワードが破損した場合に備えてバックアップパスワードフレーズを準備してください。
このDHCP情報は公開され(ノートブックを使用している人に)おそらく推測するのは難しくないので(同じ環境で他のラップトップを使用している人には)一般的な泥棒を防ぐことができますが、それ以上の保護はありません。技術に精通した同僚 - 地獄で。