tang

Automatické odemykání šifrovaných disků: Tang, Clevis a Gentoo

Full system encryption s pomocí LUKS už funguje delší dobu a není problém ji rozchodit. Zajímavější část nastává ve chvíli, kdy chceme disky odemykat trochu jinak, než jenom zadáváním hesla z klávesnice. Takže si vyzkoušíme Network Bound Disc Encryption, tedy stav, kdy se počítač automaticky odemkne pomocí klíče získaného ze sítě (který by měl dostat jen ve chvíli, kdy je počítač spuštěn v bezpečné síti). Zní to možná pitomě, nicméně pokud encryption server běží někde schovaný a je přístupný jen z lokální sítě (třeba přes VPN někam), při ukradení počítače/serveru má obvykle daná osoba smůlu, protože ke klíči se již nedostane. Takže jediná chvíle, kdy se lze ke klíči dostat, je v prostředí, kde stanice zrovna běží. Ano, v tuhle chvíli (narozdíl od TPM, u kterého se sází na to, že ten klíč prostě nikomu jinému nevydá) se lze ke klíči teoreticky dostat. Pokud má někdo dost času si s tím v té lokalitě hrát... u TPM na druhou stranu systém nabootuje vždy, takže i po odnesení je dost prostoru hledat bugy ve všem, co na dané stanici naběhne...

Subscribe to tang