暗号化によって強制される読み取り専用アクセスを許可するファイルシステムはありますか
ハードドライブに接続してファイルを読み取ることができるが、変更や書き込みにはパスフレーズが必要なファイルシステム標準(LUKSなど)はありますか?たとえば、暗号化されていないファイルにgpgで署名することで、保存するときに同様のことができます。
とにかく、悪意のあるOSがファイルを変更するのを防ぐことは不可能です。したがって、パスフレーズを持たない攻撃者が最新の暗号化機能を壊さずに許可された変更をシミュレートできないような方法で悪意のある変更を検出できるファイルシステムを探しています。
はい、これは _dm-verity_ と呼ばれます cryptsetupでサポートされています です。暗号化ハッシュを使用して読み取られるファイルシステムを検証します。適切な資格情報なしで誰かがファイルシステムを変更しようとした場合、オペレーティングシステムは次に読み込まれたときにエラーをスローし、改ざんの可能性があることを警告します。変更を行うには、新しいハッシュツリーを使用してファイルシステムを再構築する必要があります。
_dm-verity_を構成するためのツールは veritysetup(8) です。