私は次のパーティションスキームを使って私のラップトップにArch Linuxインストールを実行しています。
/dev/sda1
これは私の/boot
パーティションで、私のESPです。/dev/sda2
私のLUKS暗号化ルートパーティションです
私はブートローダとしてsystemd-bootを使用します。
この設定のセキュリティについて考えると、vmlinuz イメージと initramfs イメージは暗号化されていないパーティションに保存されるため、変更される可能性があるため、編集者になります。懸念されるのは、これらのイメージが攻撃者が修正した悪意のあるイメージに置き換えられる可能性があることです。 UEFIをロックし、USBドライブで起動を無効にする以外に、変更されたイメージが起動しないようにすることはできません。
私の質問は次のとおりです
- これは実際の問題ですか、それともこの問題に対するセキュリティ対策がありますか?
- それ以外の場合は、起動時に不正な変更を検出するにはどうすればよいですか(例:兆候図)?
- この設定を使用する際に他のセキュリティ上の考慮事項はありますか?
編集する:
- 私のラップトップにはTPMがあります。私ができることはありますか?
答え1
懸念されるのは、これらのイメージが攻撃者が修正した悪意のあるイメージに置き換えられる可能性があることです。
はい、彼らはできます。これを防ぐには、リムーバブルドライブから直接起動するか(コンピュータを離れるときに削除する)、ファームウェアに起動バイナリを安全に確認させることができます(例:UEFIセキュアブートそれを試してください)。
しかし、これは攻撃者がキーロガーをインストールしたりシステムファームウェアを修正したりするのを防ぎません。署名付きブート方法を使用すると、攻撃者がコンピュータが許可する署名キーを変更できないようにする必要があります。
この設定を使用する際に他のセキュリティ上の考慮事項はありますか?
コールドスタート攻撃みんなとても悪いです。ノートパソコンの電源が入っている間にノートパソコンを盗まれないでください。
また、厳密に言えば、暗号化自体は認証を意味せず、ディスク全体の暗号化は通常データサイズを変更(認証タグを追加)する必要があるため、データを認証しません。認証が不足すると柔軟性が発生し、その程度は暗号化アルゴリズムによって異なります(CTRおよびCBCモードは悪く言及されています)。CBCベースのディスク暗号化の実用攻撃)。
したがって、妄想がひどい場合は、攻撃者がラップトップを使用した後にノートブックを使用しないでください。しかし、これは脅威モデル、データの価値、攻撃者の予想レベルによって異なります。
答え2
物理的なアクセスに対する防御手段はありません!
必要なものは何でもできますが、内蔵USBポートの1つにハードウェアキーロガーをインストールすると、ディスク全体の暗号化も回避できます(ノートブックの場合はマザーボードに直接はんだ付けされます)。