grub (2.06) + luks2 = не работает

0

1

В общем, решил упороться и напилить full disk encription на ноут (был с отдельным некриптованным бутом). Официально писали про поддержку luks2 в свежем грабе, а по факту (как я понял) оно не умеет до сих пор в новый формат ключей Argon2i, но может в старый PBKDF2. При подсовывании luks2 + PBKDF2 + lvm - не работает, lvmid не найден. При конвертации в luks1 все ок. Кто-то сумел завести luks2 + grub?

Ссылка

←	Tails ThinkPad bridge

Malware которая открывает порт на сервере

→

← 1 2 →

Ответ на: комментарий от anonymous 20.07.21 17:36:49 MSK

Intel Boot Guard

Збс, не знал про такое. Поковыряюсь в биосах своих ноутов, погляжу, а то я не припомню чтобы выдел там что-то подобное.

Глупость в случае с ворованым ноутом

Ты читаешь как-то выборочно:

Так что достаточной мерой безопасности будет просто запрет грузиться с флешек, а при утере и получении устройства назад, считать его заведомо скомпрометированным

Как ты умудрился прочитать первую половину предложения и полностью проигнорировать вторую?

выносом загливия в шифрованный /boot на загрузочной флешке

Обдумывал подобное, но это слишком непрактично. ~~И на всякий случай ещё таскать с собой молоток, чтобы флешку надёжно уничтожить~~. Так что у меня просто бут в корне, который шифрован.

~~WitcherGeralt~~ ★★
(20.07.21 21:40:31 MSK)

Собственно, а чем luks1 плох, и уступает luks2? И FDE на основе luks1 не решает ли озвученные проблемы кражи/компроментации ноутбука?

aleax
(24.07.21 23:09:45 MSK)

Ответ на: комментарий от aleax 24.07.21 23:09:45 MSK

как я понял новый формат ключей более устойчив от брутфорса, в пример приводится перебор паролей с помощью пачки видеокарточек (майнинг ферма?)

leg0las ★★★★★
(25.07.21 01:26:34 MSK) автор топика

Ответ на: комментарий от WitcherGeralt 20.07.21 21:40:31 MSK

Поковыряюсь в биосах своих ноутов, погляжу, а то я не припомню чтобы выдел там что-то подобное.

Оно в процессоре Intel. Память с одноразовой записью, возможности сменить ключ нет. Включается только один раз, без возможности отключения. Если секретный ключ потеряешь обновить UEFI будет невозможно, при обновлении девайс окерпичется.

anonymous
(10.08.21 17:45:05 MSK)

Ссылка

Ответ на: комментарий от WitcherGeralt 20.07.21 21:40:31 MSK

ЗЫ: почему ни кто, кроме chromebook, сегодня не использует технологию аппаратной блокировки изменения UEFI при помощи джампера на материнской плате? Если закоротить 1-вую дорожку SPI flash на землю джампером, то запись на нее становится физически невозможной.

anonymous
(10.08.21 17:51:29 MSK)

Ссылка

Ответ на: комментарий от leg0las 25.07.21 01:26:34 MSK

более устойчив от брутфорса, в пример приводится перебор паролей

Правильное решение для ноута: полное шифрование диска, с выносом загливия в шифрованный /boot на загрузочной флешке.

В этом случае, кроме ноута надо украсть еще флешку и аж дважды подбирать пароль: сперва для расшифровке /boot чтобы получить заглавие с зашифрованного раздела /boot и только потом подбирать пароль для расшифровки диска ноута. А без флешки с шифрованым /boot расшифровка диска невозможна вовсе.

anonymous
(10.08.21 17:58:46 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Tails ThinkPad bridge

Security

Malware которая открывает порт на сервере

→

Похожие темы