EFI: encrypt ESP

3

Mi chiedo se sia possibile crittografare una partizione di sistema EFI (ESP)?

Vorrei configurare una macchina virtuale (VirtualBox) usando EFI come boot manager che è supportato dal sistema operativo usato (archlinux). C'è un modo per crittografare la partizione di avvio (ESP) usando dm-crypt con LUKS? Vorrei usare il boot loader di systemd per eseguire il kernel senza la necessità di qualcosa come grub.

Un'altra cosa: ha senso che la partizione ESP debba essere crittografata perché il kernel caricato potrebbe essere controllato?

    
posta maxik 05.07.2016 - 12:20
fonte

3 risposte

6

A partire da ora non sembra esserci alcun firmware che supporti ESP crittografati, ma non ce n'è bisogno.

L'avvio sicuro si occupa di controllare la firma di qualsiasi applicazione EFI che si sta per caricare, quindi vengono gestiti i bootkit / rootkit o sistemi operativi dannosi.

Se si dispone effettivamente di dati riservati nell'ESP, la soluzione migliore è mettere i dati riservati in una partizione crittografata separata e inserire alcune applicazioni EFI nell'ESP in grado di comprendere e decrittografare la partizione crittografata. Un piccolo Linux o anche un GRUB con supporto di base per LUKS.

    
risposta data 03.10.2016 - 12:35
fonte
1

L'ESP non può essere crittografato perché il firmware (UEFI) stesso ha bisogno di essere in grado di leggerlo. (I bootloader efi sono solo normali file memorizzati in esp).

    
risposta data 02.11.2016 - 13:16
fonte
0

Non puoi crittografare l'intera partizione ESP perché il bootloader non è in grado di sbloccare un contenitore dm-crypt per continuare il processo di avvio.

Puoi proteggere la partizione /boot utilizzando una partizione crittografata GRUB perché Grub avere la possibilità di sbloccare un LUKS codificato /boot

    
risposta data 02.11.2016 - 13:31
fonte

Leggi altre domande sui tag