header.img 파일 파쇄를 자동으로 시작하고 파티션 암호 해독 시도가 실패할 경우 암호화된 파티션 자체를 파쇄하는 부트로더를 설정할 수 있습니까?
이것이 아직 존재하지 않는다면, 많은 작업 없이 그러한 소프트웨어를 만드는 것이 가능합니까?
건배,
답변1
예(자신의 부트로더/initramfs의 경우) 및 아니요(도둑이 Live CD에서 암호를 해독하여 트랩을 우회하려는 경우)입니다. 따라서 문제는 여기서 어떤 시나리오를 다루고 싶은지입니다.
보안 관점에서 볼 때 이는 작동하지 않고 비밀번호를 무차별 대입으로 해독할 수 없기 때문에 좋은 생각이 아닙니다. 게다가 스스로 함정을 발동시킬 위험도 높습니다.
비밀번호를 입력할 때 실수하는 것은 전적으로 가능합니다. 제가 가장 좋아하는 것은 Caps Lock 키인데, (비밀번호가 에코되지 않기 때문에) 눈치채지 못한 채 실수로 그 키를 누르면... 귀하의 경우에는 폭발할 것입니다.
이를 구현하려면 배포판의 initramfs 버전에 후크 시스템이나 유사한 시스템이 있는지 확인해야 합니다. 일반적인 cryptsetup 호출은 다음과 같습니다.
cryptsetup -T 5 luksOpen /dev/sda1 luksroot
부비트랩을 설치하려면 다음을 수행하면 됩니다.
cryptsetup -T 5 luksOpen /dev/sda1 luksroot || boobytrap
트랩은 도둑을 바쁘게 유지하면서 물건을 삭제하는 기능입니다. 그 외에도 cryptsetup에서 오류 코드를 반드시 확인해야 합니다. 그래야 잘못된 매개변수 등으로 인해 삭제되지 않습니다. RETURN CODES이 섹션의 맨페이지를 확인하세요 .
유사 코드: (테스트되지 않았으며 권장되지 않음)
boobytrap() {
if [ $? -eq 2 ]
then
# kill the disk silently in the background...
dd bs=1M if=/dev/zero of=/dev/sda1 seek=2 2> /dev/null &
# ...while keeping the thief busy entering more passwords
cryptsetup -T 9999 luksOpen /dev/sda1 luksroot \
&& echo Congrats, but I already deleted your data...
fi
}
잘 백업하시길 바랍니다.
답변2
내 데비안 "wheezy" 시스템 을 잠깐 살펴보면 do_luks./lib/cryptsetup/cryptdisks.functions/etc/init.d/cryptdisks-early
update-initramfs코드를 변경한 후에는 초기 부팅 디스크 이미지도 업데이트되었는지 확인하기 위해 실행해야 합니다 .
내 데비안 "jessie" 시스템에도 이러한 파일이 있지만 이 멋진 신세계에서 실제로 사용되는지는 확인하지 못했습니다 systemd.