Esiste un concetto di password di crittografia PXE / disco completo come questo?

4

Questa domanda può solo mostrare un chiaro fraintendimento delle cose da parte mia, e mi scuso se lo è, ma ho pensato di metterlo qui perché non so dove altro chiedere.

Ho pensato ai problemi con il tentativo di ospitare un server completamente crittografato in una posizione remota - questo ovviamente è realisticamente impossibile senza includere la chiave di crittografia nella partizione di avvio o il disco RAM iniziale sulla macchina - entrambi di questi metodi sono lontani dall'ideale.

Poi ho pensato a come passare una password a un server in una posizione remota senza avere accesso fisico. Ora, l'unica volta che un computer comunica con la rete prima che acceda al disco rigido è durante la fase di avvio PXE.

La mia domanda è la seguente: Qualcuno ha qualche idea su come questo possa essere utilizzato per fornire un codice di crittografia? Forse un router di una certa varietà potrebbe passare la richiesta PXE da un particolare MAC a un server esterno di qualche tipo, che potrebbe rispondere con una chiave parziale o crittografata o una sorta di token che potrebbe essere utilizzato dal sistema remoto per sbloccare il disco rigido?

    
posta n00b 08.10.2013 - 23:08
fonte

1 risposta

1

C'è un progetto chiamato iPXE che ti dà un firmware di avvio di rete open source. Può essere visualizzato sulla scheda di rete o caricato a catena dopo l'avvio del firmware predefinito.

Potresti migliorarlo per aggiungere questa funzionalità che descrivi (se ho capito bene):

  1. il server remoto ha tutto crittografato, quindi hai bisogno di una password per iniziare.

  2. L'iPXE personalizzato si avvierà e richiederà un'immagine da un server HTTP, con un metodo di comunicazione sicuro. Potrebbero essere utilizzati i tradizionali protocolli di handshake sicuri.

  3. il server avrebbe convalidato la richiesta e quindi inviato l'immagine di avvio

  4. questa immagine di avvio decrittografa l'HDD e continua l'operazione di avvio

Può essere fatto. E penso che le persone dell'iPXE possano goderne.

    
risposta data 10.10.2013 - 15:03
fonte

Leggi altre domande sui tag