Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
Am 22.03.19 um 15:49 schrieb Heiko Schlittermann:
>> Grundsätzlich funktioniert diese Prototyp schon ganz gut. Ich würde hier
>> gerne Anregungen zu dem Verfahren und der Umsetzung sammeln. Besonders
>> interessant ist die Updatefähigkeit unserer Lösung.
> Und warum legst Du nicht gleich den Key für die Platte in die initramfs?
> Ob das nun der SSH private Key ist (den Du vermutlich nicht mit einer
> Passphrase schützt, denn wer sollte die beim Booten eingeben), oder der
> Key für das Luks, was ist der Unterschied?
Na ja. $BEHOERDE oder $BOESER_BUBE kommt und nimmt den Server mit.
Dann hat er auch den Key für die Platte, wenn der in der initramfs ist.
Wenn Du weißt/ahnst, dass der Server von jemandem entwendet wurde,
kannst Du hoffen, dass derjenige den Server heruntergefahren hat und ihn
nicht an einer USV hängend "entführt" hat. Beim Wiedereinschalten will
er dann mit dem SSH-Server reden. D.h. erstens hast Du vielleicht eine
trackbare IP, zweitens, wenn Du es mitbekommen hast, gibst Du in dem
Moment den Platten-Key nicht mehr raus.
Ich halte das allerdings für nicht allzu realistisch, dass man auf die
Art und Weise einen ernsthaften "Datendieb" abwehrt. Zumal es ja auch
noch so Spielchen wie DMA-Attacken, Cold-Boot-Attacken, etc. gibt, um an
Key oder gar die gesamten Daten zu kommen.
Gruß
Stefan
Reply to: