Sta usando decrypt_derived più sicuro di un keyfile?

Naviga le tue risposte
5

Supponiamo di avere due partizioni su un sistema Linux, una partizione root ( / ) e una partizione /home . Entrambi sono crittografati con LUKS .

La partizione /home deve essere decrittografata solo se / è sbloccato e montato. Al momento dell'avvio, inserisco la passphrase per la partizione di root. Ora ho trovato diverse possibilità per evitare di dover inserire più passphrase:

  • Usa decrypt_derived da Debian . Questo recupera la chiave (master?) Dalla memoria (sicura?) E la usa come passphrase per la seconda partizione. È stato menzionato su Unix.SE .
  • Crea un file chiave da dati casuali, salvalo sulla partizione principale e usalo come passphrase per la seconda partizione. È facile da configurare.
  • In qualche modo leggi la passphrase e scrivila nell'input standard di cryptsetup . Ciò significa che le passphrase devono essere le stesse per entrambe le partizioni.

Quali sono le implicazioni per la sicurezza di ciascun metodo e quale metodo è raccomandato?

    
posta Lekensteyn 20.06.2012 - 18:59
fonte

1 risposta

5

decrypt_derived è leggermente migliore dell'approccio keyfile per questi motivi:

  1. È possibile archiviare accidentalmente il file di chiavi con autorizzazioni errate e quindi perdere il contenuto per utenti non root sul sistema, mentre la chiave principale per un'autorizzazione LUKS può essere raggiunta solo da root.
  2. Potresti cancellare accidentalmente il file di chiavi, mentre la chiave principale non può essere modificata o rimossa accidentalmente.
  3. Se il filesystem di root viene danneggiato potresti perdere il contenuto del file di chiavi, mentre la chiave master non ne risentirebbe.

Fondamentalmente, userei decrypt_derived se è disponibile (cioè sto usando Debian / Ubuntu), ma non andrei allo sforzo di installarlo manualmente se non lo è. In entrambi i casi aggiungerei ancora una chiave passphrase aggiuntiva alla partizione home nel caso in cui la partizione di root venisse corrotta e la chiave master venisse smarrita.

Certamente non userò il terzo metodo che hai suggerito, dal momento che è più lavoro e vuoi evitare di memorizzare la frase segreta ovunque.

    
risposta data 25.07.2012 - 22:03
fonte

Leggi altre domande sui tag

In che modo il cliente sceglie il certificato corretto dall'archivio dei certificati? Problemi di sicurezza di Skype su una rete aziendale