Vlákno názorů k článku Vzdálené odemykání šifrovaného disku na serveru s Debianem od anonym - Možná se zeptám blbě, ale proč to řešit...

Možná se zeptám blbě, ale proč to řešit takto složitě, když přesně k tomuto bylo vynalezeno TPM, které umí fungovat zcela automaticky? Samozřejmě se může objevit server, který TPM nemá, ale v dnešní době mi to příjde už jako standard.

Podpora TPM je v Linuxu...vselijaka. Navic je virtualnich serveru to jeste zavisi na schopnostech hypervizoru...

Pomocí TPM to lze řešít také, ale IIUC tam je problém, že to řeší jen scénář, kdy útočník ukradne disky a chce je přečíst, ne scénář, kdy ukradne (nebo si vypůjčí) celý počítač.

Není u TPM háček v tom, že když z jakéhokoli důvodu dojde ke zničení konkrétního TPM čipu, tak se k datům už nikdy nedostanete?

Nedostaneš se ke klíči, který byl v tom zničeném TPM. Ale LUKS umí přidat více klíčů, takže máš jeden v TPM a jeden záložní někde. Nebo třeba ve firmě můžeš dát další klíč CEO nebo do notářské úschovy nebo whatever.

Rozuměl jsem tomu až po to „whatever“.

Nebo třeba ve firmě můžeš dát další klíč CEO nebo do notářské úschovy nebo komukoli jinému jak to zrovna situace a firemní politika bude vyžadovat.

Klic v TPM se zalohuje do AD apod., pokud jsou to Win. K tomu lze vytvorit recovery key, ktery lze mit jako soubor/papir dle libosti.

Problém s TPM je, že:

1) TPM „první generace“ (tak to teď označuju, žádné oficiální číslování AFAIK není) byly samostatné čipy na desce, které klíč sdělovaly přes „nešifrované dráty“, kde šel snadno odposlechnout.

2) Nové TPM se jmenuje „firmwarové“ a je přímo „v procesoru“, takže tam je tenhle útok extrémně složitý. Stále ale platí to, že klíč vydají vždy při bootu a pak se používá pro šifrování v RAM. Díky tomu má útočník neomezený počet pokusů na cold-boot útok. Dokonce může vyměnit RAM moduly za jiné, na kterých se cold-boot útok dělá snadněji (RAM moduly jsou identifikovány pomocí I2C flashky, která není nijak kryptograficky zabezpečena).

2.1) Pomocí AES-NI se dá nějak šifrovat aniž by se klíče dostaly do RAM, to by mohlo pomoct.

2.2) V extrémním případě si lze ale představit speciální RAM modul, který umožňuje útočníkovi modifikaci obsahu za běhu (koukal jsem na to a přijde mi že potřebujete součástku jménem "DDR4 bus switch", FPGA s DDR4 nebo počítač s corebootem kde se dá rejpat v rutinách na memory training - nevím jestli takové s DDR4 existují, někdo mi o nich říkal v roce 2014 myslím tady kdy DDR4 ještě nebylo) a tak si změní kód a vyčte to.

3) Finálním řešením jsou CPU s šifrovanou RAM, to umí některé nejnovější Intely a AMD, ale není to moc rozšířené.

Samozřejmě některé z útoků se dají provést pří vzdáleném SSH unlocku, evil maid může backdoornout initramdisk. Dobré řešení by bylo používat SSH unlock a současně TPM (klíč rozdělený na půlky třeba), to pak vyžaduje překonat tohle i tamto a to třeba může trvat dlouho a někdo si toho všimne a heslo pak nezadá.

8. 12. 2021, 21:16 editováno autorem komentáře