是否有任何全盘加密方案可以在没有 initramfs 的情况下完成,而不是从内核命令行获取加密密钥?我知道这听起来不安全,因为攻击者只能读取引导加载程序文件;但由于该设备的启动过程,我必须在每次启动时手动输入命令行。
我已经为该 arm64 设备编译了自己的内核,因此自定义内核配置选项对我来说不是问题。
答案1
不。
好吧,通常 FDE 必须位于硬件(而不是 Linux)中,否则内核从何而来。假设您已经解决了这个问题(可能与您对不太典型的启动过程的建议有关)......
无法从通过命令行选项解密的块设备挂载根文件系统。也不可能将 ecryptfs 作为 root 挂载:您必须先为 ecryptfs 设置后备文件系统,然后才能挂载 ecryptfs...
(从技术上讲,有一个 hacky 选项rootdelay=。但是没有启动选项可以将两个 rootfs 相互安装在一起,并且没有启动选项可以使用任何方案解密块设备)。
通常/proc/cmdline可以被任何用户空间进程读取,因此 Linux 不鼓励将密钥放入其中。将这样的想法与 FDE 隐含的安全需求相协调是具有挑战性的,但也许存在一些人为的情况......
这听起来就像您想向内核传递一团用户空间代码,它可以以您选择的任何方式构建存储堆栈。即使是内核开发人员也不会批准的方式:-)。您可以在启动时传递该 blob。或者您可以选择将其构建到内核中。我们可以将其称为初始 ramfs 或简称 initramfs。好消息!有人已经为您实现了这个内核功能。
问题没有说明为什么这个 9 个字母的单词不能说出来。由于您正在进行自定义编译,因此您始终可以使用您喜欢的任何名称进行修补:-P。
(这是更通用的选项。从技术上讲,对于您的情况,您可以使用未加密的分区来保存相同的代码,但通常不太方便)。
它不必像发行版 initramfs 一样大。例如,快速搜索发现这是一个合理的起点:
https://gist.github.com/packz/4077532
您可以构建一个自定义的 busybox,它只启用 initramfs 所需的模块。取决于静态链接的工作效果,但我真的希望 initramfs 比内核小。
答案2
是的。
现在可以使用新的内核参数“dm-mod.create=”。我在这里找到了 gentoo 的简要描述:https://forums.gentoo.org/viewtopic-t-1110764-highlight-.html
这里您可以在 Linux 内核文档中找到一个页面,其中包含有关以下内容的更多信息dm-mod.create