Linux-Verschlüsselung ohne Passphrase, um schnell unzugänglich gemacht zu werden

339
Ramses

Ich bin auf der Suche nach einer transparenten, vollpartitionellen Verschlüsselungslösung für ein Linux-System

  • erlaubt unbeaufsichtigtes Booten (Neustart, Neustart nach Stromausfall usw.)
  • ermöglicht es, die Partition fast sofort dauerhaft nicht verfügbar zu machen, sowohl vom System selbst als auch per Fernzugriff über ssh, indem z. B. eine Passphrasen-Datei, ein Verschlüsselungs-Header, zufällige Teile des Dateisystems usw. überschrieben werden.
  • ist relativ einfach einzurichten und zu warten.

Das System, das wir gerade verwenden, ist ein Standard-NixOS-System, auf dem wir eine Reihe von Docker-Containern ausführen. Ich denke jetzt, die Wurzelpartition unverschlüsselt zu lassen und eine zweite, verschlüsselte Datenpartition aufhängen zu lassen /var/lib/docker. LUKS / dm-crypt scheint die einfachste Lösung für die vollständige Partitionsverschlüsselung zu sein. Diese Partition wird automatisch mit einer Nur-Text-Schlüsseldatei geladen, die auf der (unverschlüsselten) Root-Partition gespeichert ist.

Daher ist es mir nicht so wichtig, das System vor Diebstahl oder Zugriff auf die ruhenden Daten zu schützen, aber ich möchte in der Lage sein, die gesamte Partition im Falle einer physischen Sicherheitsverletzung schnell unzugänglich zu machen.

Ich bin daher auf der Suche nach Ratschlägen, wie Sie die verschlüsselte Partition mit nur wenigen Dateifunktionen nicht verfügbar machen können.

  • Kann ich die Schlüsseldatei auf irgendeine Weise überschreiben, was es unwahrscheinlich macht, dass sie immer noch von der Festplatte wiederhergestellt werden kann? Was wäre der beste Weg, dies zu tun?
  • Kann ich alternativ (oder zusätzlich) den Partitionsheader zuverlässig überschreiben oder so, dass die Wahrscheinlichkeit eines Angreifers, der den Inhalt der Partition wiederherstellt, weiter verringert wird?
1
Ihre Frage enthält mehr oder weniger Ihre Lösung. Welche Systeme haben Sie sich angesehen und warum haben sie Ihre Anforderungen nicht erfüllt? Seth vor 5 Jahren 0
Ich bin absolut kein Experte, wenn es um bestehende Verschlüsselungslösungen unter Linux geht. Ich suche also nach Leuten mit mehr Erfahrung und Wissen, um zu bestätigen, dass ich bei einem System ohne Passphrase eine Schlüsseldatei löschen oder einen Header überschreiben kann um die Partition dauerhaft unzugänglich zu machen. Ramses vor 5 Jahren 0
Sorry, aber ich verstehe dich wirklich nicht. Sie scheinen zu wissen, wie eine Passphrase oder eine Schlüsseldatei funktioniert, so dass Sie wissen sollten, welche Löschung eine der beiden enthält. Nach welcher Antwort suchst du genau? Seth vor 5 Jahren 0
Das Löschen der Schlüsseldatei aus einer unverschlüsselten Partition reicht möglicherweise nicht aus, die Datei ist wahrscheinlich immer noch wiederherstellbar. Ich suche also nach Menschen mit tieferen Kenntnissen dieser Dinge, um meinen Ansatz zu überprüfen und empfehle eine sichere Methode, um die Schlüsseldatei zu löschen oder den Partitionsheader zu überschreiben. Ramses vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme