_%2F%CB%99.png)
我正在笔记本电脑上运行 Arch Linux 安装,分区方案如下:
/dev/sda1是我的/boot分区,也是我的ESP/dev/sda2是我的LUKS加密根分区
我使用 systemd-boot 作为引导加载程序。
当我考虑此设置的安全性时,我变得偏执,因为 vmlinuz 和 initramfs 映像可以被修改,因为它们存储在未加密的分区上。我担心的是,这些图像可能会被攻击者修改过的恶意图像所替换。除了锁定 UEFI 和禁止从 USB 驱动器启动之外,我没有办法阻止启动修改后的映像。
我的问题是:
- 这是一个真正的问题还是已经有针对此问题的安全措施?
- 如果没有,我可以做些什么来检测启动时未经授权的更改(例如签图片)?
- 使用这种设置时是否还有其他安全考虑?
编辑:
- 我的笔记本电脑中有 TPM。我能做点什么吗?
答案1
我担心的是,这些图像可能会被攻击者修改过的恶意图像所替换。
是的,他们可以。为了防止这种情况,您可以自己从可移动驱动器启动(离开计算机时将其删除),或者让固件安全地检查启动二进制文件(例如UEFI 安全启动尝试去做)。
但这仍然无法阻止攻击者安装键盘记录器或修改系统固件。使用签名启动方法,您还需要确保攻击者无法修改计算机接受的签名密钥。
使用这种设置时是否还有其他安全考虑?
冷启动攻击都非常糟糕。不要让您的笔记本电脑在开机时被盗。
另外,严格来说,加密本身并不意味着身份验证,全盘加密通常不会对数据进行身份验证,因为这需要更改数据大小(添加身份验证标签)。缺乏身份验证会导致可延展性,其程度取决于加密算法(CTR 和 CBC 模式很糟糕,并且有提到针对基于 CBC 的磁盘加密的实际攻击)。
因此,如果您足够偏执,那么在攻击者使用笔记本电脑后,您可能不应该使用它。但所有这些都取决于您的威胁模型、数据的价值以及您期望攻击者的先进程度。
答案2
没有针对物理访问的防御措施!
您可以做任何您想做的事情,但即使是全盘加密也可以通过安装在内部 USB 端口之一上的硬件键盘记录器来规避(在笔记本电脑上:直接焊接到主板上)