LINUX.ORG.RU

История изменений

Исправление intelfx, (текущая версия) :

Мне больше симпатично вводить pin от yubikey

Можно вводить PIN от TPM. Дежурное напоминание, что yubikey есть не у всех, а все обсуждаемые приседания делаются в первую очередь в пользу тех, у кого его нет (т. е. у подавляющего большинства).

Вместо пароля на LUKS расшифровывать через TPM и вводить пароль только на юзера. Результат: пароль все равно вводить

Вместо пароля может быть любая другая аутентификация (биометрия, более простой/массовый/дешёвый токен, любые другие изобретения), причём ты не ограничен одним фактором или одним экземпляром.

дольше ждать

Короче, потому что меньшее количество работы оказывается заблокировано невведённым паролем.

Атакующий-дебил поимел рута удаленно и решил поменять мне initrd. Решительно не понимаю, зачем обсуждать этот сценарий

Я тоже.

Стандартный мямлинг про мифическую защиту от evil maid attack, которой нет и быть не может

Ты очень лихо противопоставляешь конкретным аргументам стандартный мямлинг «они ложны, потому что я так сказал».

Исправление intelfx, :

Вместо пароля на LUKS расшифровывать через TPM и вводить пароль только на юзера. Результат: пароль все равно вводить

Вместо пароля может быть любая другая аутентификация (биометрия, более простой/массовый/дешёвый токен, любые другие изобретения), причём ты не ограничен одним фактором или одним экземпляром.

дольше ждать

Короче, потому что меньшее количество работы оказывается заблокировано невведённым паролем.

Атакующий-дебил поимел рута удаленно и решил поменять мне initrd. Решительно не понимаю, зачем обсуждать этот сценарий

Я тоже.

Стандартный мямлинг про мифическую защиту от evil maid attack, которой нет и быть не может

Ты очень лихо противопоставляешь конкретным аргументам стандартный мямлинг «они ложны, потому что я так сказал».

Исходная версия intelfx, :

Вместо пароля на LUKS расшифровывать через TPM и вводить пароль только на юзера. Результат: пароль все равно вводить

Вместо пароля может быть любая другая аутентификация (биометрия, более простой/массовый/дешёвый токен, любые другие изобретения), причём ты не ограничен одним фактором или одним экземпляром.

дольше ждать

Быстрее, потому что меньшее количество работы оказывается заблокировано невведённым паролем.

Атакующий-дебил поимел рута удаленно и решил поменять мне initrd. Решительно не понимаю, зачем обсуждать этот сценарий

Я тоже.

Стандартный мямлинг про мифическую защиту от evil maid attack, которой нет и быть не может

Ты очень лихо противопоставляешь конкретным аргументам стандартный мямлинг «они ложны, потому что я так сказал».