Aggiungerebbe sicurezza per impostare una password GRUB se gli HDD sono criptati e le impostazioni UEFI possono comunque essere aperte?

L'aggiunta della password di grub è necessaria per proteggere la sequenza di avvio, ma proteggere la sequenza di avvio ha senso solo se si protegge l'intera sequenza di avvio, in altre parole se si abilita la password di grub, è necessario abilitare anche la password UEFI e viceversa. È piuttosto inutile impostarne uno, ma non l'altro, quindi per rispondere a una domanda, no, non è ridondante.

Quando hai Secure Boot, ogni componente nella sequenza di avvio dovrebbe verificare crittograficamente l'immagine caricata per il prossimo componente di avvio. In altre parole, UEFI carica e verifica un'immagine GRUB firmata crittograficamente (utilizzando UEFI Secure Boot) e GRUB carica e verifica un kernel / initrd / driver Linux con firma crittografica. Quando l'intera catena viene verificata tramite Secure Boot, l'unica vulnerabilità rimane se l'utente malintenzionato ha sostituito la scheda madre / ROM di avvio, si tratta di un attacco fisico che può essere ritardato o reso difficile utilizzando misure di sicurezza fisiche (ad es. , telecamere di sicurezza, guardie di sicurezza, adesivi antimanomissione).

La crittografia / avvio ha poco senso, ma ci sono buone ragioni per firmare crittograficamente i file in / boot per impedire il boot hijacking). Secure Boot in UEFI e GRUB fanno parte della soluzione per l'avvio di un sistema operativo senza una sequenza di avvio con firma crittografica; l'aggiunta di password di avvio impedisce alle persone di apportare modifiche non autorizzate alle impostazioni UEFI / GRUB o all'avvio di sistemi non firmati dalla shell UEFI Shell / GRUB.

I dati dell'utente sul disco rigido sono crittografati (e MACd) per impedire la lettura non autorizzata e per rilevare le modifiche. L'ultima parte significa che un utente malintenzionato potrebbe cancellare l'intero disco e scrivere le proprie cose lì, ma la sostituzione di singoli file ecc. Con qualcosa di sano non è possibile.

Se / boot è anch'esso crittografato ("if", perché molte istruzioni lasciano / boot non crittografate), per cosa? Per evitare di leggere Grub (è un software conosciuto)? No. Per prevenire modifiche dannose? Forse, ma niente mi impedisce (diciamo che sono l'attaccante) di sovrascrivere la "intera" partizione Grub con il mio malevolo bootloader (o fornire un secondo disco con un proprio bootloader). Non conosco i tuoi file, ma so come creare una partizione / boot. ... Significa, hai perso. Il mio bootloader può prendere il controllo del computer non appena lo accendi e spiare il tuo tasto HDD in seguito.

La console di configurazione di GRUB, che impedisce l'accesso senza password, ha senso in una situazione specifica: l'utente malintenzionato può non accedere al disco rigido. Pensa ATM. (Se può, come detto sopra, anche la password è inutile.)

Simile alla password delle impostazioni UEFI: se riesco ad accedere all'hardware (sostituendo le schede madri, i chip lampeggianti, ...), è completamente inutile.

In conclusione, cosa vuoi?

• Proteggi i tuoi file dalla lettura, ma se il tuo computer viene rubato non puoi più fidarti (anche se lo riapri)? Mantieni la crittografia del disco e ignora il resto.

• Proteggi il tuo computer da furti e / o modifiche? Usa tutto e mettilo in una cassastrong, con uno schermo anti-radiazioni e molto altro.

• Qualcos'altro? Impossibile.