Názory k článku
Šifrovaný root LVM

Možná jsem slepý, rozhodně se rád nechám vyvést z omylu, ale já tam skutečně nevidím návod, jak "jak zašifrovat kernel image a při startu ji rozbalit do paměti pomocí initramfs". Já vidím pouze návod, jak přidat další šifrovaný oddíl do volume group (LVM), která obsahuje kořenový oddíl.

Sám bych rozhodně uvítal návod, jak zašifrovat i jádro (a nejlépe i initrd), abych nemusel mít nešifrovaný /boot, když je vše ostatní zašifrováno.

Kromě toho, vámi zmíněný pvcrypt není žádný šifrovací systém, jak to ze znění zprávičky vypadá ("zašifrovaný pomocí pvcrypt"), nýbrž název zašifrovaného oddílu, na kterém je vytvořena příslušná volume group.

Aby vam agenti CIA nebo Mossadu nemohli pres noc vymenit jadro za jine, se smirovacim backdoorem.

V kazdem spionaznim filmu agenti prece pracuji v noci. Prijedou neosvetlenym cernym autem, vystoupi v dlouhych kabatech a sirokych kloboucich narazenych do cela, nainstaluji stenice a jedou. Ale pokud chcete, mohli by vam jadro vymenit treba v poledne, az do sebe budete cpat halusky.

Vzhledem k tomu, že diskové šifrování je opatření proti fyzickým útokům na daný stroj, nešifrovaný /boot (s nešifrovanými obrazy jádra) dává případnému útočníkovi s fyzickým přístupem k danému stroji jednu možnost - podvrhnout jádro nebo initrd. Může tak získat klíče k dešifrování oddílů, popřípadě tam rovnou hodí nějaký rootkit, aby se ke stroji mohl dostat vzdáleně. Možností je relativně hodně.

V pripade fyzickeho napadeni je jedno jestli mate sifrovany i kernel. Jednoduse vam nasadi hw keyloger a priste uz ty hesla utocnik vedet bude. Nebo upraveny grub. Nebo upraveny BIOS :-) Muzete si pochopitelne /boot nosit u sebe, treba na flasce, ale porad jakmile pocitate s tim ze to strcite do "upraveneho" pocitace mate problem. Jedine reseni je nosit pocitac stale u sebe :-)

To je taky fakt.

Jenze HW keyloger kazdy nema, zatimco vylepsene jadro muze podstrcit pomalu kazdy trouba. Cili sifrovany /boot urcite zabezpeceni zlepsi, i kdyz proti CIA vam asi nepomuze.

ale absolutne ma to zaujima, co vedie cloveka k takemuto siforovaniu jak celeho disku, systemu etc. Poznam par dobrych dovodov, ale moc ich nie je, takze ma to zaujima, ak to nie je tajne.

Hodi se to na notebooku, kdyz ho nekdo ukradne nebo ho ztratite. Proc by mel pripadny zlodej ci nalezce cist me maily, divat se na me fotly z dovolene nebo zkoumat firemni data?

Ale na to uplne staci sifrovat /home, coz je proti sifrovani rootu (obzvlast pres LVM) mnohem, mnohem jednodussi.

Zase tak složité šifrování rootu není (tedy pokud si odmyslíme to LVM ze zprávičky), zejména, pokud to vaše distribuce "podporuje" v initrd. A od šifrování /home (a swapu - bez šifrování swapu ani ránu) je k šifrování rootu už jen krůček. Ostatně, někdo může mít něco "zajímavého" i v /etc (openvpn klíče, apod.). Nehledě na to, že to o něco to zkomplikuje případný útok na systém (nejde pak třeba přepsat cryptsetup či do systému naklást nějaké pasti, pokud zrovna necháte laptop někde chvíli bez dozoru).

Desktopu, laptopu nebo serveru? Řekl bych, že u laptopů bude nejčastější důvod možnost krádeže a související možné zpřístupnění všech informací v daném stroji nějaké třetí osobě. Nemusejí to být zrovna "top secret" dokumenty, úplně stačí čísla kreditních karet, přihlašovací údaje k placeným službám, apod.

Zejména vládní činitelé by se měli s šifrováním svých laptopů obtěžovat, aby pak nemuseli řešit skandál v situaci, kdy někde laptop s citlivými údaji "zapomněli" a někdo jim ho šlohnul.

U desktopů zase záleží, kdo k nim má přístup. Pokud je to třeba rodinný počítač, kam má přístup více lidí, dovedu pochopit šifrovaný systém kvůli prosté potřebě soukromí. Stejně tak je šifrování dobré řešení v situaci, kdy vám selže disk a vy ho pošlete na reklamaci - třeba servis závadu snadno vyřeší a dostane se k vašim datům. Pak je otázkou, zda-li příslušní pracovníci budou respektovat nějaký etický kodex, či se vám tam začnou přehrabovat a dolovat něco zajímavého. A co neudělá servis, to může udělat někdo, kdo disk najde někde na smetišti.

U serverů záleží, čí data se tam uchovávají a jaký je jejich charakter. Opět si dovedu představit, že nějaká citlivější data budou šifrována.

Ovsem, abyste vedel, kam az muzete zajit bez toho, ze by vas zakaznik ziskal neodbytny pocit, ze vase nabidka je prachsprosta ojebavka.

No sifrovani je fajn, ale o kolik se mi zpomali OS a o kolik samotny DISK a I/O k tomuto disku ?