一部の暗号化スペシャリストは、サイズとチェックサムが既知の一般的な*nixオペレーティングシステムファイルを見ると、暗号化アルゴリズムのリバースエンジニアリングによって攻撃面が公開されるため、*nixプラットフォームでフルディスク暗号化(FDE)を使用することを心配しています。この攻撃面を迂回する難読化技術が見つからなかったため、戦略としてFDEを放棄することを検討しています。
現在、PEFS(FreeBSD)やEncFS(* nix)などのユーザーレベルの暗号化を使用しようとしています。
FDEサイズ/チェックサム攻撃面に対する適切な解決策がないと仮定すると、物理ハードウェアがオフまたはオフになっている間に重要なセキュリティアーティファクトがハッカーから安全に保たれるようにシステムを構築するためにどのような戦略を策定する必要がありますか?ロックされた?
答え1
PEFSおそらくFreeBSDのための最高のソリューションでしょう。詳細はこちらからご覧いただけます。https://wiki.freebsd.org/PEFS
また、PEFSの著者とのインタビューは次のとおりです。http://www.jupiterbroadcasting.com/53747/pefs-bsd-29/
答え2
別のオプションは、mdドライバを介してディスクとしてインストールされたファイルにgeliブロックデバイス暗号化の使用をサポートするvnodeを使用することです。