Dochází k tomu:Chcete implementovat schéma DRM. Mnoho z nich, než jste to zkusili, všechny selhaly. Není možné dát něco (hardware, data) uživatelům a zabránit jim v nezamýšleném použití nebo kopírování. Můžete to ztížit, ale nemůžete tomu zabránit. Jiní s více zdroji, než jste zkoušeli (např. Sony, Microsoft, Nintendo, aby se zabránilo pirátství konzolových her) a nakonec to všechno bylo rozbité.
Podle mé předchozí odpovědi, návrhu od @logneck a trochu google-fu , dospěl jsem k závěru, že je možné implementovat schéma požadované v otázce s dostupné nástroje a hodně trpělivosti/odbornosti. Tento přístup by měl splnit požadavek OP, ale je pouze návodem k návrhu, protože má řadu nevýhod/úskalí. Pomůže OP bránit se naivním útočník se pokouší zkopírovat data ze šifrovaného disku.
Můj předchozí nápad použít čip TPM zůstává platný. Tato příručka, kterou jsem nikdy vyzkoušel, zobrazuje, jak zašifrovat disk bez nutnosti zadávat heslo a zabránit komukoli dešifrovat data na jiném počítači.
TPM je normálně zabudovaný v základní desce, takže jej nelze přesunout na jiný hardware. TPM provádí hardwarovou atestaci, takže si můžete ověřit, že hardwarové prostředí vyhovuje a že do vašeho mobo nebyla zapojena žádná karta třetí strany.
Pokud hardwarová atestace projde, TPM se sám odemkne. Modul LUKS si pak může vyžádat TPM pro šifrovací klíč disku, který je uložen v odemčeném TPM.
Pokud se disk přesune na jiný počítač, nebudete mít klíč u sebe.
Jak je popsáno v průvodci, proces zahrnuje:
- Instalace distribuce dle vašeho výběru
- Převzít vlastnictví čipu TPM pomocí
trousersatpm-tools - Nainstalujte
trustedgrub2a použít jej jako bootloader - Přidejte do modulu TPM dešifrovací klíč LUKS
- Utěsnění TPM
Zapečetění TPM znamená provedení hardwarové atestace. Návod, na který jsem odkazoval, mluví o bootování BIOSu místo UEFI (uživatelé UEFI jsou obeznámeni s konceptem bezpečného spouštění). V podstatě trustedgrub2 bude měřit software. To lze zjednodušit kontrolním součtem jádra, abyste se ujistili, že není změněno. TPM také měří hardwaru, abyste zkontrolovali, že od zapečetění TPM nebyla nainstalována žádná jiná karta PCI nebo podobná karta.
Pokud se během procesu zavádění nedotklo hardwaru nebo s ním nebylo manipulováno, a bootovací jádro je stejné, kdo zapečetil TPM, pak TPM vydá tajný klíč LUKS systému, aby se systém mohl dešifrovat sám.
Výsledek:1) disk je zašifrován, 2) při spouštění není vyžadováno žádné heslo, takže uživatel může počítač kdykoli restartovat, a 3) klíč nemůže být uživatelem obnoven, protože je uložen v hardwarovém úložišti.
Všimněte si, že toto řešení, podobné řešení Microsoft BitLocker, není dokonalé a sdílí stejné bezpečnostní úskalí jako řešení od Microsoftu. Ve skutečnosti byl BitLocker poháněný pouze TPM a nikoli PINem opakovaně kritizován za své slabší zabezpečení, o kterém zde nebudu diskutovat.