Booten von verschlüsseltem Dateisystem ohne Benutzerinteraktion?

1371
Vokuhila-Oliba

Ist es irgendwie möglich, ein Linux-Betriebssystem von einem verschlüsselten Dateisystem / einer Festplatte ohne Benutzerinteraktion zu starten?

Hintergrund : Ich bereite ein VmWare-Image für den Versand an einen Kunden vor. Dieses Bild enthält sensible Daten. Der einzige Zugriff, der gewährt wird, erfolgt über einen Apache-Server, der innerhalb des Images ausgeführt wird.

0
What value would you get from the encryption if you could boot without providing key? Are you willing to accept that an advanced user will be able to bypass the encryption and read the files? Are you only aiming at deterring an typical person or do you actually strong protection? Zoredache vor 14 Jahren 3

1 Antwort auf die Frage

3
user12889

(mehr ein Kommentar als eine Antwort, aber zu lang, um als Kommentar hinzugefügt zu werden)

Wahrscheinlich ja, aber das Problem wird wahrscheinlich nicht gelöst.

Irgendwann muss ein Entschlüsselungsschlüssel bereitgestellt werden, um auf das verschlüsselte Dateisystem zuzugreifen. Dies geschieht häufig durch Eingabe eines Passworts durch einen Benutzer. Ich gehe davon aus, dass Standard-Verschlüsselungstools auch Funktionen zum Lesen des Schlüssels von USB-Sticks, Chipkarten und anderer Hardware bieten. Daher ist keine Benutzerinteraktion erforderlich (ich denke, TrueCrypt macht dies für Windows, nicht sicher über Linux).

Wenn die VM jedoch auf Ihrem Client-Computer ausgeführt wird, endet der Entschlüsselungsschlüssel auf diesem Computer, da er die Entschlüsselung durchführt. So haben Sie einer technisch erfahrenen Person den vollständigen Zugriff auf Ihre Daten.

Sie können versuchen, den Verschlüsselungsschlüssel in Hardware zu verbergen, wie dies bei DVD-Playern der Fall ist, oder bei vielen Spielekonsolen oder neueren iPods. Dies erfordert jedoch, dass Ihr Kunde solche Cutom-Hardware in (oder so) ihrem Computer verwendet. und bedenken Sie, dass dies auch nur eine Verschleierung ist, keine Sicherung.

Wie wäre es, wenn Sie die Daten nicht an den Kunden weitergeben, sondern die Anwendung die Daten als Webservice von Ihrem eigenen Server abfragen lassen?