Самоуничтожение ключа к диску

3

7

Здравствуйте.

Возникла необходимость зашифровать свой винчестер и чтобы получить к нему доступ нужен KeyFile, который хранится на usb-носителе вместе с boot разделом. Всё это реализовано. Но теперь надо сделать так, чтобы в случае компрометации, можно было этот ключ или вообще весь раздел с загрузчиком удалить безвозвратно. Не знаю ни единого способа (google не помог), но могу предположить, что должен быть ввод секретной фразы для удаления или какой-то особенный пункт меню grub при выборе которого всё затрется. Буду рад помощи, спасибо.

Ссылка

←	Что нужно злоумышленнику, что получить доступ?

Почему на tmpfs не работают атрибуты файлов?

→

Показаны ответы на комментарий. Показать все комментарии.

при логине, ВМЕСТО имени пользователя Skogkeeper вводишь Skogkeper. В скрипте ~/.bash_login этого пользователя вбиваешь

shred -uvz -n666 keyfile

emulek ★
(10.01.2015 13:13:53 +00:00)

Ответ на: комментарий от emulek 10.01.2015 13:13:53 +00:00

Этот вариант не подходит, так как чтобы залогинится нужно расшифровать винт ключом для начала. А его надо удалить до расшифровки.

Skogkeeper
(10.01.2015 13:18:42 +00:00) автор топика

Ответ на: комментарий от Skogkeeper 10.01.2015 13:18:42 +00:00

тогда сделай так:

1. образ initramfs дополни скриптом, который делает shred

2. передавай параметр init=this_script при загрузке этого пункта меню.

А вот как делается initramfs в убунте — я не знаю.

emulek ★
(10.01.2015 13:21:35 +00:00)

Ссылка

Ответ на: комментарий от emulek 10.01.2015 13:13:53 +00:00

Вот ты траллируешь или правда?

Опечатка такого типа встречается чуть более чем пару раз в час при сидении на работе с постоянными блокировками и разблокировками сеансов. Это сразу проще руками затереть и радоваться.

Паттерн должен быть правдоподобен, но не сразу же в ногу.

anonymous
(12.01.2015 09:47:48 +00:00)

Ответ на: комментарий от anonymous 12.01.2015 09:47:48 +00:00

Опечатка такого типа встречается чуть более чем пару раз в час

ну хозяин думать ведь должен, и помнить о том, что ТАК опечатываться НЕЛЬЗЯ. Сложно что-ли посмотреть, перед тем, как пароль на вход вбивать? Можно другую «опечатку» использовать, например замена «l» на «1». Главное, что-бы враг не обратил внимания на эту «опечатку».

с постоянными блокировками и разблокировками сеансов.

когда ты разблокируешь сеанс, то другое имя не пойдёт. Необходимо новый сеанс начинать, и там вводить имя с «опечаткой».

но не сразу же в ногу.

это уже детали. Для безопасности лучше сразу в голову. Как у меня. А у меня весь /home в tmpfs, и мне достаточно выдернуть аккумулятор. На носителях ВСЁ зашифровано.

emulek ★
(12.01.2015 10:43:10 +00:00)