Criptografando uma unidade USB de inicialização múltipla

Navegue suas respostas
5

Meta:
Criptografia completa de uma unidade USB de inicialização múltipla contendo CDs de boot e informações confidenciais

Problema:
Eu tenho feito experiências com o XBoot ( link ) para criar uma unidade flash USB de inicialização múltipla que eu possa usar para trabalho (transportando vários sistemas operacionais e boot cds).

Para quem não está familiarizado com o XBoot, ele copia os vários ISOs para a unidade flash e cria um gerenciador de partida como front-end no Syslinux ou no Grub4dos. Ou pode ser configurado para não usar nenhum gerenciador de inicialização.

Eu gostaria de poder carregar alguns CDs inicializáveis com informações da empresa pré-carregados, bem como ter arquivos armazenados na unidade.

Por razões relacionadas às informações armazenadas em algumas das coisas que estou carregando, eu gostaria que toda a unidade fosse criptografada. Edit:
Os arquivos ISO, bem como a partição onde os dados são armazenados.

Possíveis soluções que eu analisei:
Entendo que o TrueCrypt ( link ) é capaz de usar seu próprio gerenciador de inicialização para descriptografar uma unidade antes de inicializar. Eu usei isso antes e entendo, em teoria, como criptografar uma unidade na qual estou inicializando vários sistemas operacionais.

Edit: Eu sei que o TrueCrypt não suporta sistemas de arquivos EXT, mas a unidade seria formatada como FAT32 / NTFS com todos os cds de inicialização existentes como ISOs

Existe alguma maneira que eu poderia instalar o TrueCrypt para a unidade e apontar um bootloader em outro (não é a abordagem mais limpa, mas na minha opinião, é a melhor chance de trabalhar)?

Existe uma maneira mais limpa / eficiente de alcançar o resultado desejado?

Editar 2:
Idealmente, estou procurando uma solução de software e não uma solução de hardware.

Editar 3:
Consegui criptografar toda a unidade usando TrueCrypt, mas o bootloader front end não é para ser usado como um carregador de menus do tipo grub. Alguém tem alguma experiência em editar o menu?

Editar 4:
Eu tentei usar um programa diferente, como sugerido por um dos respondedores, Easy2Boot. Em termos de funcionalidade, ele funciona de maneira muito semelhante ao XBoot, pois cria um front end do menu de inicialização grub4dos para os arquivos ISO. Eu corri para o mesmo problema, onde uma vez que isso foi configurado, eu não conseguia apontar corretamente o bootloader TrueCrypt neste bootloader. Então, como eu conseguiria isso? Eu sei que é possível, porque mesmo do Easy2Boot, quando eu inicializo um live-cd como o Hirens, ele vai do bootloader do Grub4DOS para o Bootloader do Hiren.

    
por Will.Beninger 25.04.2013 / 06:35

4 respostas

4

Primeiro, para usar CDs inicializáveis, você não precisa de inicialização múltipla, então essa é uma parte que não entendo.

Em segundo lugar, por que não colocar todos os dados confidenciais em uma partição TrueCrypt criptografada que você pode abrir a partir de qualquer SO que você inicialize.

Em terceiro lugar, se esses dados da empresa estiverem sendo protegidos, talvez você possa justificar a compra de criptografia de hardware, como Apricorn Aegis Secure Key , ou Drive Flash Biométrico Imation Defender F200 .

    
por 22.05.2013 / 11:12
2

Se você quiser usar a criptografia de software, não poderá inicializar a maioria dos ISOs do Linux se os arquivos ISO estiverem criptografados. Os únicos ISOs que poderiam inicializar neste caso são aqueles que carregam tudo no initramfs (um exemplo é RIPLinux ; infelizmente, parece que seu desenvolvimento foi interrompido) ou aqueles que você modificou para adicionar suporte a criptografia ao initramfs.

O problema é que o gerenciador de inicialização usado pelo TrueCrypt (ou qualquer outro programa de criptografia de software) pode configurar um manipulador do BIOS INT 13h para fornecer ao próximo gerenciador de inicialização acesso aos dados criptografados, mas este manipulador INT 13h não pode ser usado após o bootloader. O kernel do Linux foi iniciado. No entanto, a maioria dos ISOs Linux precisa ter acesso ao conteúdo ISO depois de iniciar o Linux e tudo o que é necessário para obter esse acesso deve estar presente na imagem initramfs (que é carregada pelo carregador de inicialização usando chamadas BIOS INT 13h antes de iniciar o kernel Linux). Claro, você não encontrará o suporte TrueCrypt no initramfs de qualquer ISOs Linux usual.

Na verdade, até mesmo fazer o código initramfs a partir de uma ISO do Linux encontra o conteúdo ISO quando a inicialização via USB requer alguns hacks. Se você ler o descrição do processo de boot ISO usado pelo Easy2Boot , você notará que ele modifica a tabela de partições da unidade USB para adicionar um partição que corresponde ao intervalo do setor usado pelo arquivo de imagem ISO (que é necessário para ser contíguo - isto é, não fragmentado); o código initramfs deve montar essa partição para obter acesso ao conteúdo ISO. Obviamente, isso não funcionará se a imagem ISO estiver criptografada, a menos que o código initramfs seja modificado para suportar a criptografia usada.

Então você tem estas opções:

  1. Evite incluir dados confidenciais em imagens ISO. Crie duas partições na unidade USB - uma para dados confidenciais (criptografada por TrueCrypt ou o que você escolher), outra para inicialização (não criptografada).

  2. Descubra como instalar um gerenciador de inicialização utilizável dentro de uma partição TrueCrypt e usar apenas ISOs baseados em initramfs ou modificar imagens initramfs para adicionar suporte a TrueCrypt. Se você escolher esse caminho, sugiro tentar usar o SYSLINUX primeiro, porque, ao contrário do GRUB, ele não tenta instalar no MBR (e você precisa evitar o uso do MBR e da área de incorporação antes da primeira partição, porque o bootloader TrueCrypt ser instalado lá).

  3. Compre uma unidade USB com criptografia de hardware que possa ser desbloqueada sem nenhum software - por exemplo, uma das unidades sugeridas na outra resposta . No entanto, verifique cuidadosamente antes de comprar, ou você pode ter alguns problemas - por exemplo, para a Apricorn Aegis Secure Key um dos comentários na Amazon diz:

    It seems to dislike even the slightest power interruptions. If I connect it before starting an OS, during the boot of Windows or Linux when it detects USB devices, it will disconnect it due to the brief interruption in USB connectivity. I will have to reach down and enter the PIN again.

    Note: This is not a scenario that it is advertised to work in or anything, but I was able to do this on my previous pin-pad-having USB drive without issues... I installed Linux on the drive so that it was bootable, but when I try to boot Linux, it disconnects it during the phase where it detects USB devices. It continues booting if I reach down and re-unlock the drive, but it's a pain.

    E a unidade Imation Defender F200 Biometric pode não ser utilizável para inicialização se também for redefinida nesses casos, e se tornar lenta demais para desbloquear durante a inicialização do BIOS. O artigo de suporte confirma sua compatibilidade com o Linux se apenas a autenticação biométrica estiver habilitada, então há alguma chance de sucesso, mas…

por 25.05.2013 / 20:15
0

Realmente, se você tem uma unidade USB e não deseja criptografia de hardware, está dizendo que não está preocupado com a injeção de malware em outra pessoa na unidade USB. Com isso, não há razão para criptografar as partições de inicialização.

Deixar todas as partições descriptografadas, exceto para partições de dados. Criptografe as partições de dados da maneira que quiser, desde que seja uma maneira que possa ser montada pelos sistemas operacionais.

Como alternativa, use criptografia de software como TrueCrypt para criptografar toda a unidade USB. O principal problema com isso é que você tem que inicializar alguma coisa para descriptografar a unidade e então você fica preso mantendo-a viva enquanto inicializa algo mais . É por isso que eu iria com criptografia de hardware como primeira escolha e criptografia de partição de dados como segunda opção.

    
por 26.05.2013 / 00:10
0

Em relação à solução de software desejada, você pode usar o LVM e o LUKS para particionar e criptografar a unidade de várias maneiras.

Eu corro Tails e Kali de um único SanDisk Extreme 3.0 (50Mb / s) com desempenho suficiente para mim.

Eu tenho três Tails de Volumes Lógicos (LV's), Kali, e compartilhados.

Criptografia de senha única do LUKS para o bastão como um todo.

O Volume compartilhado mantém o Dropbox para dados que fluem entre qualquer coisa no USB ou são acessados em outro lugar.

    
por 21.07.2016 / 19:01

Tags

Como posso verificar quais portas de saída são permitidas em uma rede? Posso fazer com que o Windows 7 e o Nvidia Control Panel “esqueçam” resoluções de exibição externas?