@
eason1874 “系统盘不加密,只数据盘加密,不够安全的” “同样的也可以在里面加个木马脚本偷数据”
你需要的是 secure boot 。你这个问题就算是 LUKS 加密系统盘一样会有问题,因为 LUKS 的原理就是 boot 分区 /initramfs 不加密,启动时先启动内核加载 LUKS ,输密码后再进一步解密系统盘。
@
Cify 磁盘加密属于 encrypt at rest ,当然无法解决传输安全。BitLocker 也解决不了传输安全啊。
你用正确实现的 TLS 传输,正确验证证书签名,怎么会有事?如果这都有事那银行都别干了。
又或者,卸载加密盘。直接 dd 传磁盘镜像。缺点就是无法差分备份。
@
Jirajine TPM 其实也无法从根本上解决这个问题。因为人家能偷到你的 pin 就能使用 tpm 来解密你的数据盘。能解密你的数据盘就能传输数据。根本问题还是本地计算环境不可信,那就无解。TPM 提供了一个有限的可信环境,所以 TPM 内执行加解密是安全的,或者说可以这么认为。
但是如果系统的其他部分不可信的话,那数据在被不可信的部分处理时,还是不安全的。
@
eason1874 linux 的 secure boot 很有限,很多发行版只是 secure boot 到 bootloader ,也就是 grub 是签名的,但 grub 不验证内核签名。何况你自己编译的内核也无法获得官方签名,自己签名的话就需要自己维护一套 CA 和可信的编译流水线,于是又回到了我上面说的 “更高安全的系统是( intrusion detector )连到 BIOS 里。从原厂直接锁定 secure boot key 之类的配置。任何人开箱,系统自动报废 TPM 。”
冷知识:大部分系统预装的 secureboot key 是微软的 key 。