모든 클라이언트에 전체 디스크 암호화를 구현하고 싶습니다. 하지만 사람들이 부팅 시 FDE 액세스 코드를 입력하는 것을 방지하기 위해 액세스 코드가 DHCP 등을 통해 배포될 수 있는지 알고 싶습니다.
노트북이 도난당하거나 회사 외부에서 사용되는 경우 FDE가 노트북을 보호해야 한다는 개념이지만, 회사 네트워크에서 사용되는 경우에는 도난당하지 않았다고 가정합니다.
이상적으로는 액세스 코드가 일회성 액세스 코드가 되기를 바랍니다. 따라서 누군가가 DHCP 응답을 스니핑하더라도 일반적으로 노트북의 암호를 해독할 수 없습니다.
답변1
여기에는 사용자 정의 Initramfs 작성이나 적어도 후크 작성이 포함될 가능성이 높으므로 다음 리소스가 흥미로울 수 있습니다(젠투 관련 비트 무시).
- https://wiki.gentoo.org/wiki/Custom_Initramfs
- https://wiki.gentoo.org/wiki/Custom_Initramfs#DHCP
- https://wiki.gentoo.org/wiki/Custom_Initramfs/Examples#Self-Decrypting_Server
자체 복호화 서버 예시에서는 다음 암호화 키를 생성합니다.
(
# CPU:
grep -vE '(MHz|bogomips)' /proc/cpuinfo
# RAM:
tail /proc/iomem
# MAC-Address: (requires network drivers)
cat /sys/class/net/*/address
# Block devices and partitions (ignore optional CD drive):
grep -v sr0 /proc/partitions
# Random file:
cat /root/secret
) | sha512sum | xargs echo -n > /root/key
이는 누군가가 서버를 지나가다가 하드 드라이브를 꺼내는 것을 방지하기 위한 것입니다. HDD 자체는 서버의 CPU, RAM, MAC 주소를 모르기 때문에 자신이 속한 상자 외부에서 자체적으로 암호를 해독할 수 없습니다.
도둑이 이 모든 데이터를 갖고 있고 이를 DHCP 데이터로 교체해야 하기 때문에 노트북(장치 전체를 도난당함)인 경우에는 별 도움이 되지 않습니다.
따라서 DHCP 등을 통해 IP 주소를 얻으면 다음과 같을 수 있습니다.
(
cat /sys/class/net/*/address
ip addr show
ip route show
cat /etc/resolv.conf
) | sha512sum | xargs echo -n > /root/key
그러면 MAC 주소, IP 주소, 라우팅, DNS 서버 등을 기반으로 해시/비밀번호가 제공됩니다.
노트북이 항상 동일한 방식으로 설정되어 있는 한 DHCP는 작동하므로 DHCP 서버는 항상 노트북의 구성을 기억해야 합니다. 그렇지 않으면 노트북이 부팅을 중지합니다.
이와 같은 솔루션은 항상 다소 불안정하므로 여러 암호 문구를 지원하는 LUKS를 사용하고 DHCP 암호가 손상된 경우를 대비해 백업 암호 문구를 준비하십시오.
이 DHCP 정보는 공개되어(노트북을 사용하는 사람에게) 아마도 추측하기 어렵지 않으므로(동일한 환경에서 다른 랩톱을 사용하는 사람에게는) 일반적인 도둑을 방지할 수는 있지만 그 이상에 대한 보호는 없습니다. 기술에 정통한 동료 - 지옥에서.