Re: Encriptant discs

To: debian-user-catalan@lists.debian.org
Subject: Re: Encriptant discs
From: Iker <iker.bilbao@gmail.com>
Date: Wed, 11 Oct 2017 16:04:48 +0200
Message-id: <[🔎] 87a370e5-f254-ee20-b030-9d54161835bb@gmail.com>
In-reply-to: <[🔎] eeb3bc38-c7d5-fa8f-5120-434d1861cd89@actiu.net>
References: <[🔎] eeb3bc38-c7d5-fa8f-5120-434d1861cd89@actiu.net>

Bones,

Gràcies per les aportaciones.

He vist que pots fer que la contrassenya LUKS la llegeixi d'un medi extern. D'aquesta manera evito haver d'introduïr la contrassenya (keylogger) i tinc un dispositiu físic (clau) per controlar l'encesa.

Moltes gràcies,

Iker.

On 11/10/17 14:18, Narcis Garcia wrote:

La instal·lació senzilla implica establir una partició «oberta» per a
/boot (on hi haurà el nucli) i instal·lar el gestor d'arrencada (GRUB) a
la unitat interna de l'ordinador (disc dur).
Això vol dir, però, que seria possible que un expert amb accés físic a
l'ordinador aturat, manipulés aquesta arrencada per a enregistrar la
contrasenya que teclegis la propera vegada, i per això hauries d'iniciar
tu l'ordinador després sense saber d'aquesta manipulació.
No és una situació gaire probable.

La manera més fàcil que jo he vist per evitar aquesta possibilitat és la
memòria USB per arrencar. Per instal·lar disposes de:
- El mitjà d'inici i instal·lació (Debian CD/DVD/USB)
- La unitat interna de l'ordinaodr (disc dur on anirà el sistema)
- Una memòria USB que ja connectes per començar.

A l'etapa del particionat, li dius que ho vols fer manualment, a la
unitat interna hi estableixes una sola partició per xifrat i a la
memòria USB una partició per a /boot
Al final del procés d'instal·lació, li dius que instal·li el gestor
d'arrencada a la memòria USB.

Res més; es tractarà d'iniciar amb la memòria USB i sempre que marxis te
l'emportes amb tu. Això et farà confiar amb què l'arrencada «oberta» no
haurà estat mai manipulada.


El 11/10/17 a les 14:00, Pedro ha escrit:

L'atac que pretén efectuar-se a través de grub i kernel se li diu evil
maid attack [1] [2]

Que jo sàpiga no pots xifrar grub i kernel. Però pots instal·lar-lo en
un usb que portaràs amb el teu clauer, i que haurà d'estar posat només
en el moment d'inici del sistema: conec una persona que ho fa.

També pots aprofitar per posar en aquest usb el header de luks
d'aquesta manera el teu ordinador "no tindrà res identificable" per
demostrar que està xifrat.

això és lo que es pot fer, però mai ho he fet, no sé com es fa

si t'hi fiques amb això i fas unes notes, comparteix; si algú té
informació de com es fa li agrairia molt

[1] info: https://en.wikipedia.org/wiki/Rootkit#Bootkits
[2] Automated Linux evil maid attack: https://github.com/GDSSecurity/EvilAbigail

2017-10-11 12:54 GMT+02:00 Iker <iker.bilbao@gmail.com>:

Bones,

    Estic endinsant-me en el xifrat de discos i m'adono que en molts casos
només es xifra(LUKS) el sistema de /root mentre que altres parlen de xifrat
arranc(grub) i kernel (boot).

    Suposant que la contrassenya de LUKS l'introdueix l'usuari a l'arranc i
que el kernel és un kernel genèric (no té res afegit que m'interessi amagar)
no sé veure de quina forma es pot esquivar el xifrat del sistema a travès de
manipular el grub o el kernel. Entenc que podries evitar que s'arranquès
però mai accedir a les dades xifrades. Quan, a travès del gestor
d'instal·lació de Debian, trio xifrar el disc no estic xifrant grub ni
kernel, oi?.

    La pregunta és: xifrar grub i kernel dóna alguna seguretat extra perque
poden ser vector d'intrusió?

    Gràcies,

Iker.

Reply to:

References:
- Re: Encriptant discs
  - From: Narcis Garcia <informatica@actiu.net>

Prev by Date: Re: Encriptant discs
Next by Date: (deb-cat) Problema de dependencia per dh-python
Previous by thread: Re: Encriptant discs
Next by thread: Re: Encriptant discs
Index(es):
- Date
- Thread