Attenuazione della chiave di decrittazione LUKS residente in RAM per FDE

Piuttosto pericoloso è un po 'esagerato. È abbastanza sicuro per la stragrande maggioranza delle persone che cercano di proteggere i propri dati dagli aggressori offline.

Se sei preoccupato per un malware che legge le chiavi di crittografia, sei preoccupato per la minaccia sbagliata. Un malware dovrebbe essere in esecuzione con privilegi di root per leggere il contenuto delle chiavi master sulla memoria, ma un malware con privilegi di root avrebbe comunque accesso a tutti i dati.

Se vuoi proteggerti da qualcuno che ruba la tua macchina mentre sei lontano, basta configurare il blocco schermo per smontare tutte le partizioni LUKS durante il blocco. È anche possibile installare blueproximity per bloccare automaticamente la macchina quando lo smartphone abilitato per Bluetooth viene rimosso.

Se un agente con le conoscenze e le risorse per poter utilizzare un attacco di avvio a freddo ti sta bersagliando, dovrai pensare a più di LUKS per proteggerti.

È più facile farti cadere per uno schema di spear-phishing piuttosto che usare un attacco cold boot. Se qualcuno ti sta bersagliando e sa come impiegare un attacco di avvio a freddo, sa come utilizzare una serie di attacchi mirati prima di dover ricorrere a un avvio a freddo. Irriducibilità, spear phishing, reindirizzamento DNS, persino biglietti del traffico fasulli e regali USB possono essere usati per ingannarti.

Un avvio a freddo richiederebbe che l'attaccante si chiudesse fisicamente, e almeno rubasse il computer e lo smontasse. Ma se l'attaccante può avvicinarsi abbastanza da prendere la tua macchina, può prenderti anche tu e ottenere facilmente le tue chiavi usando Tubo di gomma crittoanalisi .

Il tuo sistema di "pulizia periodica della chiave" è un ottimo esempio del perché devi capire chi e cosa ti stai difendendo prima di sviluppare misure difensive.

Chi difenderà la tua purga di 24 ore:

1. Un attaccante casuale che trova il tuo laptop dopo averlo perso e prende tempo prima di scaricare la RAM.

Chi non difenderà da:

1. Scansione RAM malware per oggetti simili a chiave.
2. Un'agenzia di intelligence che prende il tuo laptop ed esegue un attacco di avvio a freddo.
3. Un'agenzia di polizia scarica la tua RAM attraverso firewire.
4. Un'agenzia di polizia ti distrae brevemente, ruba il tuo portatile e lo mantiene attivo fino a quando non riesce a cercarlo per i dati pertinenti .
5. Etc.

C'è una soluzione più semplice a questo, se vuoi andare fuori tutto con la crittografia ti suggerisco caldamente di patchare un kernel Linux con TRESOR . Questo lo porta a dove i dati sensibili si spostano verso la CPU e mai su RAM. Una guida sulla protezione e su come utilizzare TRESOR può essere trovata qui . Altre due cose, Solo due partizioni Linux su un disco rigido se vuoi essere sicuro. Usa / root e / home con crittografia quindi metti GRUB e / boot su una chiavetta USB, Non usare mai Swap. Infine: sconsigliato ma puoi incollare le viti nel computer e rimuovere completamente le punte rendendo più difficile l'accesso.