Ho intenzione di spostare la mia cartella / boot / su USB come misura di sicurezza per proteggere dagli exploit di Full Disk Encryption. La mia domanda è, è possibile consentire solo l'avvio da USB da un singolo dispositivo USB e non qualsiasi USB che è collegato?
Grazie a tutti
James
Dubito che sia possibile configurare nel BIOS. Tuttavia, anche se lo fosse, hai un problema più grande: l'unico modo per identificare un dispositivo USB è il suo fornitore e l'ID del dispositivo. Tuttavia, tutti i dispositivi di un fornitore specifico condividono lo stesso ID dispositivo. Pertanto, anche se fosse possibile autorizzare la propria USB, sarebbe accettata anche qualsiasi USB di quella stessa marca. Inoltre, sono abbastanza sicuro che sia facile falsificare questi ID così, anche se non avessi il dispositivo USB della stessa marca, lo potresti spoofare.
È possibile utilizzare la funzionalità di avvio sicuro presente in molti computer, se il netbook lo supporta e il produttore non lo ha bloccato a Microsoft Boot Keys.
Quindi, è possibile cancellare il database delle chiavi di Secure Boot, quindi creare la propria chiave di firma e installarla nel BIOS come PK (chiave di piattaforma) e KEK (Key Exchange Key).
Dopodiché, firmi il / boot / software su USB con questi tasti.
Questo non bloccherà nessun altro USB dall'avvio del tuo computer virtuale, quindi se qualcuno riesce a copiare la tua chiave USB, può usare la propria copia. Ma non possono modificare il software di avvio per per esempio perdere la chiave FDE, registrare la password o inserire exploit nel tuo sistema operativo criptato.
Leggi altre domande sui tag linux usb boot disk-encryption