Vlákno názorů k článku Vzdálené odemykání šifrovaného disku na serveru s Debianem od Petr Soukup - Trochu problém vydím v tom, že až selžou...

Trochu problém vydím v tom, že až selžou záložní baterie a motorgenerátory, nebo se prostě stroj restartuje chybou hardwaru nebo lidskou chybou (např. chybou zaměstnanců datacentra) v nečekanou dobu, způsobíte se pravděpodobně místo krátkého výpadku v řádu minut výpadek dlouhý v řádu hodin, což především pro aplikace 24/7 není moc dobré. Ono se to určitě někdy stane, otázka jen je, jestli za rok, nebo za deset let. Dva zdroje ze dvou větví napájení, může pravděpodobnost snížit na polovinu.

V případě serveru bývají pro data (spíš pro kontejnery s virtuály) jiné disky než pro oparační systém, není tak problém šifrování použít jen na ty přídavné disky, život se tím zjednodušší především v příadě řešení potíží s bootováním. Na základním hostilským systému bez dat není nic tajného.a není třeba jej chránit.

"Na základním hostilským systému bez dat není nic tajného.a není třeba jej chránit."

Okrem šifrovacích kľúčov na šifrované disky. Pane bože prečo ešte aj s tadeto dali preč ten dislike button...

Tak ty klíče samozřejmě můžou být chráněny heslem. Není třeba kvůli 2 souborů šifrovat celý OS, po bootu se připojím na ssh a prostě si ty další disky odemknu.

Tady posílám hezkou písničku :-) https://www.youtube.com/watch?v=yxiQmTMT5Zs

Takže buď dáš klíče na tu nešifrovanou část, protože bez dat to stejně nenaběhne a nebo je nějak ochráníš a si tam kde si byl, jen s tím rozdílem, že máš nešifrovaný systém.

SSHčko v initrd při řešení potíží spíše pomůže než naopak.

Já tu obavu s nedostupností chápu, ale tak přece máme nástroje, co jsou schopny tenhle stav nadetekovat a to heslo tam poslat. Nebudu otevírat celý systém a modlit se, aby tam někdo něco citlivého neuložil, jen kvůli tomu, že při bootu to vyžaduje heslo.

Tím jste ale uvedený problém nevyřešil. Pořád budete muset zadávat heslo k těm diskům s kontejnery nebo obsahujícím jiná data, a bez zadání toho hesla systém nebude poskytovat ty služby, které má poskytovat v režimu 24/7.

Jenze pokud nabehne kompletni system, uz je mozne trebas poslat vam na smartfoun spravu ze server byl restartovan a ceka na heslo pro pripojeni disku kde ma data...

Ano, porad budete zadavat heslo, ale nebude to jiz jen o tom, kdy si konecne vsimnete, ze naka sluzba nefunguje (nebo se zacnou ozyvat uzivatele), a ze tedy server asi ceka.

To nemáš žádný monitoring, že server musí sám prosit, aby ho někdo odemknul? Na takové řešení se nedá vůbec spolehnout.

Proč by tu SMS nemohl poslat inicializační systém běžící z ramdisku? Síť tam je nakonfigurovaná a odeslání SMS může být jedno zavolání curl.

Může. Ale pokud by stav stroje sledoval někdo od jinud, pozná i jiné z zakázané stavy jako kousnutí nebo odpojení konektivity, nebo úplné selhání disku či bootování.

Ale server může odemykat klidně automatizovaně jiný server.

Pokud by jej někdo ukradl, nebude schopen jej dát na původní adresu aby došlo k odemčení. Tedy jediný způsob jak by se do něj někdo mohl dostat je vypnout ho, dát si tam nějaká zadní vrátka a pak jej zapnout, aby došlo k odemčení. Tohle ale hrozí i při ručním odemykání.
Vždy by ale může tam dát nástrahu, aby jste si mysleli, že odemykáte server vy ale místo toho vyzradíte heslo útočníkovi. Vše potřebné tam najde nezašifrované.

8. 12. 2021, 13:56 editováno autorem komentáře

Pokud by jej někdo ukradl, nebude schopen jej dát na původní adresu aby došlo k odemčení.
Řekl bych, že šifrování disků na vzdáleném serveru se dělá především pro to, aby se k datům nedostal provozovatel datového centra nebo někdo s jeho pomocí. Tudíž váš předpoklad není splněn.

Vždy by ale může tam dát nástrahu, aby jste si mysleli, že odemykáte server vy ale místo toho vyzradíte heslo útočníkovi. Vše potřebné tam najde nezašifrované.
Jistě. Ale přeci jen je rozdíl, zda jste server vědomě restartoval a teď po vás chce heslo, nebo zda víte, že vypadlo napájení a teď po vás server chce heslo – a nebo jestli váš server ochotně vyžvaní heslo hned, jak si o něj někdo řekne.

Čímž neříkám, že vzdálené automatické odemykání nemá žádný význam. Pokud se chci chránit před chybou nebo nedbalostí, třeba že někdo po výměně HDD nezajistí bezpečné smazání dat, je to odpovídající zabezpečení. Proti útočníkovi v datovém centru to ale nestačí.

Pokud se to ale restartuje či jakoby kousne samo, nevíte jestli to byl omyl, naschvál, záměr či porucha napájení, nebo jen obyčejná nestability hardware. Útočník může předstírat, že se vám server kousnul a vy si ho ještě restartujete na dálku sám. A heslo tam také dáte, aby jste nezdržoval. Všechny tyto jevy budou rozhodně častější, než že by se někdo fakt snažil vykrást ty data.

> Ale server může odemykat klidně automatizovaně jiný server.

Ano, stejně jako odemykání rootfs z ramdisku. echo heslo | ssh ramdisk cryptroot-unlock

Možná jsem hloupatej, ale k čemu že je dobrý zamknout si na ulici k lampě kolo zámkem, kterým si ke kolu přivážete i klíče?