我的系统中充满了非常敏感的数据,因此我需要尽可能地对其进行加密。
我有一个加密的Debian安装程序,每次引导时都要求输入长密码。有没有简单的设置方法,以便我可以远程输入该密码?
如果其他发行版可以做到,那么我不介意安装其他东西代替Debian。
2
您担心哪种攻击媒介?硬件密钥存储区(私钥不能通过软件提取,但是拥有该硬件的任何人都可以解密您的内容)是否合适?(顺便说一句,请注意,当您使用全盘加密系统时,许多全盘加密系统都会将主密钥解锁,然后将其存储在RAM中-这意味着具有足够特权的任何人都可以从解锁的系统中复制该主密钥,即使他们没有永远不会得到您的密码;在这里,在硬件中进行实际解密会更安全)。
—
查尔斯·达菲
@CharlesDuffy主要担心的是服务器(或其磁盘)实际上是被盗的,因此硬件密钥就不成问题了,因为它也可以被盗。我专门设置了40多个符号文件系统密码和20多个符号根密码(整个系统中唯一的用户),因此在大多数情况下我应该很安全,对吗?
—
user2363676
已卸下并被盗,还是担心在硬件仍通电时攻击者获得物理访问权限?如果有人可以将新设备热插拔到PCI总线上,那么他们可以制作物理内存的副本,这样他们就可以从正在运行的未锁定系统中窃取加密密钥。(他们无法窃取用于加密密钥的密码,但是如果您拥有密钥本身,那就没有关系了)。
—
查尔斯·达菲
另一个攻击媒介是有人在解密/解锁过程中修改启动顺序以复制密码,重新启动计算机,然后等待您登录并对其进行解锁(因此,让他们添加的代码存储副本)窃取硬件之前)。有时想出全面的威胁模型(并加以缓解)会很棘手。(我看到madscientist159已经指出了这种可能性)。
—
查尔斯·达菲