Názory k článku Šifrované disky na serveru: automatické odemykání pomocí Tang a Clevis

Super článek, akorát tohle jsem už dávno měl v plánu udělat, díky moc.

Marně přemýšlím, proti čemu přesně má šifrování disku v kombinaci s automatickým odemykáním chránit.

Pokud někdo naběhne do datacentra a provede obnovu hesla roota, získá superuživatelský přístup a rozšifrovaný disk.

Pokud si někdo server odnese domů a tam ho připojí k internetu, server se mu rozšifruje, leda, že by Tang nebyl z internetu dostupný. Ovšem ochrana IP adresou je v porovnání s kryptografickou ochranou téměř zanedbatelná a pro útočníka nejspíš nebude problém získat přístup do té správné privátní sítě, ze které Tang dostupný bude (ostatně už se mu povedlo odnést si fyzický server z datacentra domů, to je mnohem těžší úkol).

Třetí varianta je, že Tang server bude ve stejném datacentru jako Clevis, pak ale útočníkovi nic nebrání odnést si oba.

Ondřeji, třeba k tomu, že až mi někdo ukradne náš domácí server společně se šperky, elektronikou a nevím čím ještě, data na jeho discích najednou prostě přestanou být čitelná protože malé raspberry hozené za skříní krást téměř určitě nebude? A totéž platí i kdekoliv jinde?

Na světě nejsou jen velká datacentra.

S takovým threat modelem je možná lepší použít k odemykání disků TPM (pokud je k dispozici). Obyčejný zloděj možná tak vyloví disky a koukne se jestli tam něco není, lámat se do nabootovaného systému nebude.

Tang jde samozrejme pres Clevis s TPM zkombinovat.

Ovšem neochrání to v případě, že si pro váš server přijde policie (třeba na udání že taháte filmy přes torrenty). Já mám domácí server kompletně zašifrovaný, a celé je to postavené tak aby bylo prakticky nemožné ho odnést nebo se dostat dovnitř v zapnutém stavu.

Myslíte? Policie taky neodnese to raspberry za skříní jen tak. Někdo by musel ten stroj na místě analyzovat, zjistit, že se dešifruje tímhle způsobem a pak prohledat celý byt kde se ta zatracená věc nachází. A ta, mimochodem, jednak ani nemusí být v bytě, ta klidně může tvrdnout někde na VPN na internetu, kde ji v případě nouze zajistíte dřív, než policie a nebo prostě zastrčená někde v podhledu. Pěkné hledání přeji.

Samozřejmě je to čistě akademická diskuze, já osobně opravdu nemám potřebu vyvádět takovéhle věci, natož kvůli policii, ale je to zajímavá otázka.

Taky to může být off-line (vypnuté), protože potřeba je to jen při startu toho serveru. A to se pak obzvlášť blbě hledá.
Jen to tak nějak ztratí to kouzlo a je to podobné, jako SSH - snad jen ta hesla si nemusím pamatovat.

A co kdyz tang server je sifrovany s nutnosti manualne zadat heslo? Pak asi nepomuze ho odnest...

Pak nastoupí Vasil…

Kdyz sifrovat disky, tak jedine i s boot partition. Bootovat pak jedine s pouzitim UEFI Secure Boot, ktery pouzije bootloader (GRUB) podepsany pomoci vlastnich klicu ulozenych v BIOSu.

https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system#Encrypted_boot_partition_(GRUB)
https://github.com/xmikos/cryptboot

18. 1. 2022, 23:23 editováno autorem komentáře

Není už fakt snažší použít to TPM jak někdo píše výše? Výhoda tohoto řešení je, že to, co poskytuje klíče je mimo vlastní počítač. O to jde. Jestli mám kliče v BIOSu, TPM nebo prostě na odděleném disku na nezašifrované partition už je ve výsledku skoro jedno. To už situaci, kdy někdo server vezme a odnese skutečně neřeší.

Ach jo. "Kdyz sifrovat disky, tak jedine i s boot partition.". Proc? Proc by byl nesifrovany boot byl takovy problem? Nejste tak trosku fundamentalista? Kdyz linux tak jedine LFS a to na desce, kterou si clovek sam spaji!

Takže ideál pro paranoiky je server odemykat přes šifrovaný Tang, který nabootuje přes U2F token.
Ten můžu v případě potřeby klidně dát do ruky kolegovi (nebo tchýni) a vím, že si neudělá kopii.

Disky na svém domácím PC serveru odemykám pomocí TPM (v kombinaci se securebootem s vlastními podepisovacími klíči: https://skorpil.cz/cs/projekt/42/mkinitcpio-tpm2-encrypt) To mi přijde jako mnohem jednodušší a přímočařejší způsob, ale nevím jak běžné je TPM na serverových mašinách. Popsané řešení je ale vhodné když TPM k dispozici není.

Rozdíl je v tom, že při použití Tang a Clevis musí být počítač ve správné síti, takže útočník, který odnese počítač, má smůlu. Při použití TPM musí být disk ve správném počítači, takže pokud útočník neodnese jenom disk, ale celý počítač, disk se mu odemkne.

Aha rozumím.
Ano, disk musí být ve správném počítači a ve správné konfiguraci. Spoléhá to že software co takto naběhne je také zabezpečený. Silná uživatelská hesla, záplatovaný a ošetřené síťové služby (o to by se člověk měl stejně starat když jde o počítač v síti). Nic tedy nebrání spusit server jinde, ale data by měla být zabezpečena i v běžícím softwaru.