【问题标题】:Can full device encryption be achieved on a self-launching device without manual input (passphrase)?可以在无需手动输入(密码)的自启动设备上实现全设备加密吗?
【发布时间】:2016-09-12 17:21:26
【问题描述】:

理论上是否有可能在加密设备无需手动输入的情况下自行解密的安全设置?

密钥文件(相对于密码短语)显然是一种解决方案,但如果解密系统(引导分区)可以访问密钥文件,那么读取引导分区的任何人都可以读取它。

也许有一些巧妙的技术可以实现这一点。想到的一个想法是拥有一个具有(初始)加密密钥的闭源启动分区。

我是在抽象层面上提出这个问题,因此不是为了限制良好回答的可能性。实际上,我的问题适用于 Arch-Linux 设备。我可以使用块设备加密并将密钥文件存储在引导分区中,甚至可以加密引导分区,但最终需要以非加密方式公开密钥。

【问题讨论】:

  • 是的,您需要 TPM。
  • 将密钥存储在另一台机器上,并在启动过程中从网络获取。

标签: linux encryption


【解决方案1】:

不,这是不可能的。

无需手动交互,设备必须能够自动访问密钥。 由于它只是一个设备,您可以“手动”复制/执行其操作以读取密钥。

由于默默无闻不是一种安全手段,因此拥有“封闭源”资源也不安全。 例如,读取存储在智能卡上的密钥可能非常昂贵 - 但您可以像设备一样查询智能卡。

【讨论】:

    猜你喜欢
    • 2013-03-18
    • 1970-01-01
    • 1970-01-01
    • 2017-04-16
    • 1970-01-01
    • 1970-01-01
    • 2013-02-21
    • 2014-12-13
    相关资源
    最近更新 更多