Posso confiar em imagens initramfs e vmlinuz?

Navegue suas respostas
0

Estou executando uma instalação do Arch Linux no meu laptop com o seguinte esquema de partição:

  • /dev/sda1 é minha partição /boot , que também é minha ESP
  • /dev/sda2 é minha partição raiz criptografada LUKS

Eu uso o systemd-boot como meu bootloader.

Como eu estava pensando sobre a segurança dessa configuração, fiquei paranóico, porque as imagens vmlinuz e initramfs podiam ser modificadas, já que elas são armazenadas em uma partição não criptografada. Minha preocupação é que as imagens possam ser substituídas por imagens modificadas e mal-intencionadas de um invasor. Além de bloquear a UEFI e proibir a inicialização de drives USB, não tenho uma ideia para impedir a inicialização de imagens modificadas.

Minhas perguntas são:

  1. Isso é um problema real ou já existe uma medida de segurança contra isso?
  2. Se não, há algo que eu possa fazer para detectar alterações não autorizadas ao inicializar (algo como assinado imagens)?
  3. Existem outras considerações de segurança ao usar esse tipo de configuração?

EDITAR:

  1. Eu tenho um TPM no meu laptop. Existe alguma coisa que eu possa fazer com isso?
por Scrumplex 16.08.2018 / 23:44

2 respostas

1

My concern is, that the images could be replaced with modified and malicious images from an attacker.

Sim, eles poderiam. Para evitar isso, você pode inicializar a partir de uma unidade removível (que você remove ao sair do computador) ou fazer com que o firmware verifique com segurança os binários de inicialização (como UEFI Secure Boot tenta fazer).

Isso ainda não impediria que o invasor instalasse um keylogger ou modificasse o firmware do seu sistema. Com a abordagem de inicialização assinada, você também precisa ter certeza de que o invasor não conseguirá modificar as chaves de assinatura aceitas pelo computador.

Are there any other security considerations when using this kind of a setup?

Os ataques de inicialização a frio são muito ruins. Não deixe seu laptop ser roubado quando ele estiver ligado.

Além disso, estritamente falando, a criptografia não significa autenticação por si só, e a criptografia de disco completo geralmente não autentica os dados, já que isso exigiria a alteração do tamanho dos dados (a adição de tags de autenticação). A falta de autenticação leva à maleabilidade, cujo grau depende do algoritmo de criptografia (os modos CTR e CBC são ruins e há menções de ataques práticos contra criptografia de disco baseada em CBC .

Então, se você é paranóico o suficiente, você provavelmente não deve usar o laptop depois que um invasor tiver tempo com ele. Mas tudo isso depende do seu modelo de ameaça, do valor dos seus dados e do grau de avanço esperado pelos invasores.

    
por 17.08.2018 / 00:34
0

Não há defesa contra acesso físico!

Você pode fazer o que quiser, mas até mesmo a criptografia completa do disco pode ser contornada por um registrador de chaves de hardware instalado em uma de suas portas USB internas (em um laptop: soldado diretamente na sua placa-mãe)

¯ \ _ (ツ) _ / ¯

    
por 17.08.2018 / 00:27

Tags

Como grep do tee? Saída de diferença para o tamanho da partição parted e df -hP?