header.imgファイルの破砕を自動的に開始し、パーティションの復号化に失敗した場合に暗号化されたパーティション自体を破砕するブートローダを設定できますか?
これがまだ存在しない場合、多くの作業なしでそのようなソフトウェアを作成することは可能ですか?
乾杯、
答え1
はい(自分のブートローダ/ initramfsの場合)といいえ(泥棒がLive CDから復号化してトラップをバイパスしたい場合)。したがって、問題はここでどのシナリオを扱いたいかです。
セキュリティの観点から見ると、これはうまくいかず、パスワードを無差別代入として解読できないため、良い考えではありません。しかも自ら罠を発動させる危険も高い。
パスワードを入力するときに間違えることは完全に可能です。私の好きなのはCaps Lockキーですが、(パスワードがエコーされていないため)気付かずに誤ってキーを押すと...あなたの場合は爆発します。
これを実装するには、ディストリビューションのinitramfsバージョンにフックシステムまたは類似のシステムがあることを確認する必要があります。一般的なcryptsetup呼び出しは次のとおりです。
cryptsetup -T 5 luksOpen /dev/sda1 luksroot
ブービトラップをインストールするには、次のようにします。
cryptsetup -T 5 luksOpen /dev/sda1 luksroot || boobytrap
トラップは、泥棒を忙しく保ちながら物を削除する機能です。さらに、cryptsetupでエラーコードを確認する必要があります。これにより、無効なパラメータなどのため削除されません。RETURN CODESこのセクションのマンページを確認してください。
類似コード:(テストされておらず、推奨されていません)
boobytrap() {
if [ $? -eq 2 ]
then
# kill the disk silently in the background...
dd bs=1M if=/dev/zero of=/dev/sda1 seek=2 2> /dev/null &
# ...while keeping the thief busy entering more passwords
cryptsetup -T 9999 luksOpen /dev/sda1 luksroot \
&& echo Congrats, but I already deleted your data...
fi
}
よくバックアップしてください。
答え2
私のDebian "wheezy"システムを少し見てくださいdo_luks。/lib/cryptsetup/cryptdisks.functions/etc/init.d/cryptdisks-early
update-initramfsコードを変更したら、初期起動ディスクイメージも更新されていることを確認するために実行する必要があります。
私のDebian "jessie"システムにもこれらのファイルがありますが、この素晴らしい新世界で実際に使用されているかどうかを確認できませんでしたsystemd。