Estratégias para criptografia de arquivos userland sem FDE

1

Existem especialistas em criptografia que estão preocupados em usar Full Disk Encryption (FDE) em plataformas * nix devido à superfície de ataque exposta devido à engenharia reversa do algoritmo de criptografia ao olhar para arquivos * comuns do sistema operacional de tamanho e soma de verificação conhecidos. Ainda não encontrei nenhuma técnica de ofuscação para contornar essa superfície de ataque e, portanto, estou pensando em descartar o FDE como estratégia.

Atualmente estou pesquisando apenas usando criptografia em nível de usuário, como PEFS (FreeBSD) ou EncFS (* nix).

Supondo que não há uma boa solução em torno da superfície de ataque FDE size / checksum, quais estratégias para a criação de sistemas devem ser implementadas para garantir que os artefatos de segurança sejam mantidos seguros se um hacker entrar em contato com o hardware físico? desligado ou bloqueado?

    
por Timothy C. Quinn 22.05.2014 / 21:34

2 respostas

1

PEFS é provavelmente a melhor solução para o FreeBSD. Mais informações podem ser encontradas aqui: link

Além disso, há uma entrevista com o autor do PEFS aqui: link

    
por 15.06.2014 / 18:03
0

Outra opção seria usar a criptografia de dispositivo de bloco geli em um arquivo montado como um disco através do driver md usando um suporte de vnode.

    
por 04.07.2014 / 03:42