Problema: attualmente non ho modo di verificare l'integrità del mio sistema crittografato offline. Vorrei assicurarmi che il sistema non sia stato manomesso fisicamente mentre ero lontano da esso.
(Per chiarire: mentre sono a conoscenza del fatto che il sistema non può essere modificato senza accedere alla mia chiave di crittografia, si tratta di eliminare la possibilità che la crittografia sia in qualche modo aggirata, ovvero che ottengano l'accesso alla mia chiave di crittografia .)
Soluzione proposta: copia il contenuto del disco rigido e aggiungi l'hash a una thumbdrive che manterrò sotto controllo.
Domanda:
-
Quanto sarebbe difficile ottenere un hash per un hard disk prima di ogni arresto del sistema e aggiungere l'hash a un log su una thumbdrive che può essere convalidato dopo ogni accesso?
-
Dovrei avere il sistema smontato per garantire che questo metodo sia valido?
-
Esiste già una soluzione preconfezionata di cui sei a conoscenza per questo problema?
Considerazioni:
-
Avrei bisogno di garantire la sicurezza fisica del thumbdrive per assicurarmi che i checksum corrispondano sia valido (mantenere la sicurezza fisica di un keydrive è molto più facile che trasportare un computer con me)
-
Questo metodo sarebbe probabilmente più facilmente implementato su macchine virtuali (anche se questo non fa nulla se l'host è compromesso).
-
Avere un USB Live Linux sul thumbdrive per creare l'hash sull'unità non montata potrebbe essere un metodo più semplice, anche se non proprio snello.
Altri pensieri: Sono consapevole che la crittografia di sistema offre un certo livello di garanzia di integrità. Ma nella remota possibilità che la crittografia venga violata, mi piacerebbe saperlo.
SO: Arch Linux