%EB%A5%BC%20%EC%84%A4%EC%B9%98%ED%95%9C%20Ubuntu%2012.04%EB%8A%94%20%EC%96%BC%EB%A7%88%EB%82%98%20%EC%95%88%EC%A0%84%ED%95%A9%EB%8B%88%EA%B9%8C%3F.png)
전체 디스크 암호화가 포함된 Ubuntu 설정(12.04로 설정)을 원한다고 가정해 보겠습니다. Ubuntu는 설치 중에 이 옵션을 제공합니다.
또한 누군가(제 공급업체와 같은)가 나를 위해 이것을 설정해 줬고 사전 정의된 암호화된 비밀번호(물론 다른 모든 비밀번호도 포함)가 포함된 완성된 시스템을 얻었다고 가정해 보세요.
이 사람을 만들 수 있는 방법이 없을까요?안정적으로암호화 비밀번호(및 다른 비밀번호도 가능)를 변경하더라도 장치의 암호화된 데이터에 계속 액세스할 수 있나요?
(SSH 키나 루트 셸을 설치하거나 외부에서 명령을 수락하기 위해 일부 데몬을 패치하는 것과 같은 일반적인 백도어에 대해 말하는 것이 아닙니다. 특히 전체 디스크 암호화를 대상으로 하며 불가능할 수 있는 백도어에 대해 이야기하고 있습니다. 종료하지 않고 종료하는 경우 전체 시스템을 다시 설치하거나 다시 암호화하십시오).
예를 들어, TrueCrypt를 사용하면 암호화된 하드 드라이브의 첫 번째 섹터를 저장할 수 있습니다(또는 실제로 저장했습니다). 마스터 키를 암호화하는 데만 비밀번호를 사용하기 때문입니다(이후 데이터를 암호화하는 데 사용됨). 비밀번호가 변경된 후 이러한 섹터를 마스터 키로 암호화하면 실제로 암호화 비밀번호 변경을 취소할 수 있습니다.
dm-crypt/LUKS가 유사한 기능을 달성할 수 있습니까? 그렇지 않다면 비슷한 것이 있습니까?
답변1
물론이죠. 공급자는 마스터 키만 보관할 수 있습니다. LUKS 헤더 백업. 이 키는 비밀번호를 변경하더라도 변경되지 않으므로 모든 데이터에 대한 완전한 접근을 허용합니다. 따라서 여기서는 전적으로 신뢰에 의존하고 있습니다. 백도어와 그 밖의 모든 것이 가장 중요합니다.
매뉴얼 페이지 외에도 Cryptsetup FAQ를 읽어볼 가치가 있습니다.
http://code.google.com/p/cryptsetup/wiki/FrequentlyAsked질문
다양한 취약점을 다루고 있습니다. 귀하의 질문에 대한 답변도 거기에 있습니다6.7 백업으로 인해 보안이 손상됩니까?
저는 공급업체는 아니지만 이 경우에는 마스터 키를 보관하는 백업 서비스를 고려해 보겠습니다. 컴퓨터를 잘 모르는 사람에게 제품을 판매하면 그 사람이 비밀번호를 잊어버리고 나에게 도움을 요청할 수도 있습니다. 이 경우 마스터 키를 갖는 것이 도움이 될 수 있는 유일한 방법입니다. 단, 수백만 가지 가능성으로 범위를 좁힐 수는 없습니다(예: 비밀번호를 어느 정도 알고 있지만 어떤 변형을 사용하는지 모르는 경우). 물론 이렇게 한다면 솔직하게 말해야 합니다.
시스템을 신뢰할 수 있으려면 항상 시스템을 직접 설정해야 합니다. 여기에는 데이터 센터 이미지 설치 서비스 및 기타 모든 유형의 서비스가 포함됩니다.