Re: Encriptant discs

To: debian-user-catalan@lists.debian.org
Subject: Re: Encriptant discs
From: Narcis Garcia <informatica@actiu.net>
Date: Wed, 11 Oct 2017 14:18:20 +0200
Message-id: <[🔎] eeb3bc38-c7d5-fa8f-5120-434d1861cd89@actiu.net>
In-reply-to: <[🔎] CABr7qmQsREZz3+La5f_a=7wULwnBVwmLMsg3fGMQToCaxrHcyw@mail.gmail.com>

La instal·lació senzilla implica establir una partició «oberta» per a
/boot (on hi haurà el nucli) i instal·lar el gestor d'arrencada (GRUB) a
la unitat interna de l'ordinador (disc dur).
Això vol dir, però, que seria possible que un expert amb accés físic a
l'ordinador aturat, manipulés aquesta arrencada per a enregistrar la
contrasenya que teclegis la propera vegada, i per això hauries d'iniciar
tu l'ordinador després sense saber d'aquesta manipulació.
No és una situació gaire probable.

La manera més fàcil que jo he vist per evitar aquesta possibilitat és la
memòria USB per arrencar. Per instal·lar disposes de:
- El mitjà d'inici i instal·lació (Debian CD/DVD/USB)
- La unitat interna de l'ordinaodr (disc dur on anirà el sistema)
- Una memòria USB que ja connectes per començar.

A l'etapa del particionat, li dius que ho vols fer manualment, a la
unitat interna hi estableixes una sola partició per xifrat i a la
memòria USB una partició per a /boot
Al final del procés d'instal·lació, li dius que instal·li el gestor
d'arrencada a la memòria USB.

Res més; es tractarà d'iniciar amb la memòria USB i sempre que marxis te
l'emportes amb tu. Això et farà confiar amb què l'arrencada «oberta» no
haurà estat mai manipulada.


El 11/10/17 a les 14:00, Pedro ha escrit:
> L'atac que pretén efectuar-se a través de grub i kernel se li diu evil
> maid attack [1] [2]
> 
> Que jo sàpiga no pots xifrar grub i kernel. Però pots instal·lar-lo en
> un usb que portaràs amb el teu clauer, i que haurà d'estar posat només
> en el moment d'inici del sistema: conec una persona que ho fa.
> 
> També pots aprofitar per posar en aquest usb el header de luks
> d'aquesta manera el teu ordinador "no tindrà res identificable" per
> demostrar que està xifrat.
> 
> això és lo que es pot fer, però mai ho he fet, no sé com es fa
> 
> si t'hi fiques amb això i fas unes notes, comparteix; si algú té
> informació de com es fa li agrairia molt
> 
> [1] info: https://en.wikipedia.org/wiki/Rootkit#Bootkits
> [2] Automated Linux evil maid attack: https://github.com/GDSSecurity/EvilAbigail
> 
> 2017-10-11 12:54 GMT+02:00 Iker <iker.bilbao@gmail.com>:
>> Bones,
>>
>>     Estic endinsant-me en el xifrat de discos i m'adono que en molts casos
>> només es xifra(LUKS) el sistema de /root mentre que altres parlen de xifrat
>> arranc(grub) i kernel (boot).
>>
>>     Suposant que la contrassenya de LUKS l'introdueix l'usuari a l'arranc i
>> que el kernel és un kernel genèric (no té res afegit que m'interessi amagar)
>> no sé veure de quina forma es pot esquivar el xifrat del sistema a travès de
>> manipular el grub o el kernel. Entenc que podries evitar que s'arranquès
>> però mai accedir a les dades xifrades. Quan, a travès del gestor
>> d'instal·lació de Debian, trio xifrar el disc no estic xifrant grub ni
>> kernel, oi?.
>>
>>     La pregunta és: xifrar grub i kernel dóna alguna seguretat extra perque
>> poden ser vector d'intrusió?
>>
>>     Gràcies,
>>
>> Iker.
>

Reply to:

Follow-Ups:
- Re: Encriptant discs
  - From: Iker <iker.bilbao@gmail.com>

References:
- Re: Encriptant discs
  - From: Pedro <pederindi@gmail.com>

Prev by Date: Re: Encriptant discs
Next by Date: Re: Encriptant discs
Previous by thread: Re: Encriptant discs
Next by thread: Re: Encriptant discs
Index(es):
- Date
- Thread