web-dev-qa-db-ja.com

Linuxシステムの/ bootパーティションを暗号化すると、悪意のあるメイド攻撃から保護できますか?

ブートパーティションが暗号化されている場合(およびデバイスのロックを解除するためのパスフレーズをGRUB)に入力する必要がある場合)、システムはEvil Maid Attackからかなり安全ですか?

8
TheMoltenJack

「悪魔の攻撃」は、ユーザーの不在下でのデバイスに対するあらゆる種類の物理的操作の総称です。

ハードドライブを暗号化すると、次の2つの攻撃から保護されます。

  • ハードドライブを物理的に複製する
  • デバイスを起動し、デバイス上のデータを確認する

攻撃者が物理ネットワークスニッファ、物理キーロガーなどの他の形式の監視デバイスをインストールするのを防ぐことはできません。

そして、 this 形式の邪悪なメイド攻撃もあります:

  1. 攻撃者は、持ってきたブートメディアからデバイスを起動します。
  2. 攻撃者は新しいブートローダーをインストールし、デフォルトのように復号化パスワードのプロンプトを表示します。
  3. 攻撃者はデバイスをシャットダウンして立ち去ります。
  4. パスワードを入力すると、ブートローダーがパスワードを要求します。これは、いつものように見えるので、入力します。その後、ハードドライブを復号化し、通常どおりオペレーティングシステムを通常どおり起動します。しかし、その間、暗号化されていないハードドライブにマルウェアのペイロードをインストールしたり、攻撃者に盗聴したパスワードを送信したりします。

この攻撃は、純粋なソフトウェアソリューションを使用している限り機能します。暗号化を解除するには、ハードドライブに暗号化されていないブートローダーが常に必要になるためです。唯一の解決策は、ハードドライブの暗号化をUEFIレベルで実装できるかどうかです。しかし、そのようなことはまだ聞いたことがありません。

常に第3 不変のセキュリティ法則 を覚えておいてください。

悪意のあるユーザーがコンピュータに無制限に物理的にアクセスできる場合、それはもはやコンピュータではありません。

9
Philipp

EFIを変更せずにシステムを他のブートイメージから起動できないようにしても、ハードウェアキーロガーなどに対して脆弱です。悪意のあるメイドは、キーボードを取り外し、ハードウェアキーロガーをオンにして、再度接続するだけで済みます。次に疑いなくログインすると、資格情報が取得されます。

暗号化自体は、物理アクセスに対する完全な保護ではありません。

3
AJ Henderson