일부 암호화 전문가는 크기와 체크섬이 알려진 일반적인 *nix 운영 체제 파일을 볼 때 암호화 알고리즘의 리버스 엔지니어링으로 인해 공격 표면이 노출되기 때문에 *nix 플랫폼에서 전체 디스크 암호화(FDE)를 사용하는 것에 대해 우려하고 있습니다. 이 공격 표면을 우회할 수 있는 난독화 기술을 찾지 못했기 때문에 전략으로 FDE를 포기하는 것을 고려하고 있습니다.
현재 PEFS(FreeBSD) 또는 EncFS(*nix)와 같은 사용자 수준 암호화를 사용하려고 합니다.
FDE 크기/체크섬 공격 표면에 대한 적절한 솔루션이 없다고 가정할 때, 물리적 하드웨어가 꺼지거나 꺼져 있는 동안 중요한 보안 아티팩트가 해커로부터 안전하게 유지되도록 시스템을 구축하기 위해 어떤 전략을 마련해야 합니까? 잠겼어?
답변1
PEFS아마도 FreeBSD를 위한 최고의 솔루션일 것입니다. 자세한 내용은 여기에서 확인할 수 있습니다.https://wiki.freebsd.org/PEFS
또한 PEFS 저자와의 인터뷰는 다음과 같습니다.http://www.jupiterbroadcasting.com/53747/pefs-bsd-29/
답변2
또 다른 옵션은 md 드라이버를 통해 디스크로 설치된 파일에 geli 블록 장치 암호화 사용을 지원하는 vnode를 사용하는 것입니다.