Roy Asked: 2019-08-30 10:19:42 +0800 CST2019-08-30 10:19:42 +0800 CST 2019-08-30 10:19:42 +0800 CST 加密磁盘而无需登录输入密码 772 我正在使用 eCryptfs 加密主目录,并希望在没有用户登录的情况下访问文件。程序 pam_mount 将自动挂载加密的文件系统,但似乎只有在用户登录时才会发生这种情况。有没有办法做这没有用户登录或打开自动登录? 我可能以错误的方式处理这个问题 - 我正在尝试将 python 程序作为静态显示运行,但不想将 python 代码暴露给可以将驱动器安装在另一台机器上并查看未加密文件的人。此应用程序使用 systemd 服务启动。 security startup 2 个回答 Voted Best Answer Gilles 'SO- stop being evil' 2019-08-30T14:53:10+08:002019-08-30T14:53:10+08:00 您希望您的数据可读以运行您的应用程序并使用该脚本显示它,但您不希望人们能够读取您的数据,如果他们可以访问机器并且可以移除硬盘。 加密可以提供帮助,但前提是密钥不在磁盘上。所以忘记自动挂载:它不会帮助你。如果密钥在磁盘上,与不加密数据相比,您不会获得任何安全性。 如果密钥不在磁盘上,它会在哪里? 密钥可以从密码中导出。但是随后有人需要在启动时输入密码。dm-crypt比 ecryptfs 更容易设置:ecryptfs 适用于多用户系统,因此每个用户都有自己的加密密钥,而 dm-crypt 旨在加密整个磁盘或分区。 密钥可以位于其他未永久连接到计算机的可移动硬件上。最简单的解决方案是使用 dm-crypt 和 USB 驱动器或 SD 卡上的密钥文件。同样,启动时必须有人在场才能插入包含密钥的驱动器。 密钥可以位于永久连接到计算机的其他硬件上。但是你需要防止攻击者从不同的磁盘启动,恢复密钥,然后解密原始磁盘。或者从不同的磁盘启动,修改现有磁盘上的启动代码以添加可以导出数据或允许无密码登录的程序,然后从原始磁盘启动。所以你需要某种形式的安全启动。(这是安全启动,因为您拥有密钥并且可以控制在您的机器上运行的内容,而不是安全启动,因为制造商拥有密钥并阻止您安装您选择的操作系统。) 如果您不想仅依靠物理安全(将计算机放在没有电动工具无法打开的上锁盒子中),并且您不希望每次计算机启动时都必须有人干预,请确保引导是唯一的解决方案。 这意味着您需要一台带有可以控制的TPM的 PC ,或者一个可以控制的带有安全启动的 Arm 板(这些有点不常见,但您可能能够在具有安全启动,或在 iPhone 上)。 krb686 2019-08-30T18:10:23+08:002019-08-30T18:10:23+08:00 正如 Gilles 指出的那样,您显然需要某个地方的密钥,并且如果您希望此过程自动化而无需输入密码并且无需手动插入外部 USB,那么您基本上需要一个 TPM 或等效设备。 不过,更准确地说,从技术上讲,您不需要安全启动。我认为这个短语有时被广泛使用,但在这种情况下,我指的是 UEFI 规范的启动安全功能,负责验证启动链中组件的数字签名。事实上,安全启动和 TPM 是完全独立的。安全启动可以在没有 TPM 的情况下使用,TPM 可以在没有安全启动的情况下使用,或者它们可以同时使用。 此外,TPM 更常与一种称为受信任启动的安全启动技术一起使用,但也没有要求必须将受信任启动与 TPM 一起使用,尽管它扩展了您在系统中可以使用哪些组件方面的能力绑定到您的信任链中,因此它们的完整性在决定 TPM 是否会将秘密移交给某些请求它们的软件方面发挥作用。 在一个非常非常简短的总结中,忽略了很多实际细节,TPM 获取 SHA-1 和/或 SHA-256 哈希摘要(取决于 TPM 版本),或测量, 在机器启动时系统中的软件组件。它们累积在称为 PCR 的 TPM 内部寄存器或平台配置寄存器中。测量哪些组件的固件/软件的性质在很大程度上取决于系统中的各种组件对整个范例的支持,但你基本上最终会得到一系列测量,然后可以通过这些测量来锁定各种秘密TPM 提供的功能。例如,可以将密钥写入 TPM 的 NVRAM 并锁定到这些测量值的特定集合,这样 TPM 将不允许读取访问,除非确切的集合及其值与写入时存在或指定的值匹配。还有其他方法,这只是简短的一点。 但实际上,这最终意味着您最终需要编写一些软件,或使用现有的东西来处理与 TPM 的对话并从中获取秘密,然后将它们用于您需要的任何目的,例如解密 LUKS 分区。
您希望您的数据可读以运行您的应用程序并使用该脚本显示它,但您不希望人们能够读取您的数据,如果他们可以访问机器并且可以移除硬盘。
加密可以提供帮助,但前提是密钥不在磁盘上。所以忘记自动挂载:它不会帮助你。如果密钥在磁盘上,与不加密数据相比,您不会获得任何安全性。
如果密钥不在磁盘上,它会在哪里?
如果您不想仅依靠物理安全(将计算机放在没有电动工具无法打开的上锁盒子中),并且您不希望每次计算机启动时都必须有人干预,请确保引导是唯一的解决方案。
这意味着您需要一台带有可以控制的TPM的 PC ,或者一个可以控制的带有安全启动的 Arm 板(这些有点不常见,但您可能能够在具有安全启动,或在 iPhone 上)。
正如 Gilles 指出的那样,您显然需要某个地方的密钥,并且如果您希望此过程自动化而无需输入密码并且无需手动插入外部 USB,那么您基本上需要一个 TPM 或等效设备。
不过,更准确地说,从技术上讲,您不需要安全启动。我认为这个短语有时被广泛使用,但在这种情况下,我指的是 UEFI 规范的启动安全功能,负责验证启动链中组件的数字签名。事实上,安全启动和 TPM 是完全独立的。安全启动可以在没有 TPM 的情况下使用,TPM 可以在没有安全启动的情况下使用,或者它们可以同时使用。
此外,TPM 更常与一种称为受信任启动的安全启动技术一起使用,但也没有要求必须将受信任启动与 TPM 一起使用,尽管它扩展了您在系统中可以使用哪些组件方面的能力绑定到您的信任链中,因此它们的完整性在决定 TPM 是否会将秘密移交给某些请求它们的软件方面发挥作用。
在一个非常非常简短的总结中,忽略了很多实际细节,TPM 获取 SHA-1 和/或 SHA-256 哈希摘要(取决于 TPM 版本),或测量, 在机器启动时系统中的软件组件。它们累积在称为 PCR 的 TPM 内部寄存器或平台配置寄存器中。测量哪些组件的固件/软件的性质在很大程度上取决于系统中的各种组件对整个范例的支持,但你基本上最终会得到一系列测量,然后可以通过这些测量来锁定各种秘密TPM 提供的功能。例如,可以将密钥写入 TPM 的 NVRAM 并锁定到这些测量值的特定集合,这样 TPM 将不允许读取访问,除非确切的集合及其值与写入时存在或指定的值匹配。还有其他方法,这只是简短的一点。
但实际上,这最终意味着您最终需要编写一些软件,或使用现有的东西来处理与 TPM 的对话并从中获取秘密,然后将它们用于您需要的任何目的,例如解密 LUKS 分区。