10 meneos
108 clics
![La encriptación completa del disco utilizando el chip TPM llega a Ubuntu [ENG]](cache/3a/c9/media_thumb-link-3852753.jpeg?1694096466)
La encriptación completa del disco utilizando el chip TPM llega a Ubuntu [ENG]
El cifrado completo del disco ha sido durante mucho tiempo parte integral de la estrategia de seguridad de Ubuntu. Su misión es sencilla: mitigar los riesgos de filtraciones de datos debido a la pérdida del dispositivo y al acceso no autorizado, cifrando los datos mientras están almacenados en el disco duro o dispositivo de almacenamiento de la computadora. Durante 15 años, el enfoque de Ubuntu para el cifrado completo de discos se basó en contraseñas para autenticar a los usuarios. Sin embargo, en Ubuntu Core se diseñó para usar el chip TPM.
|
comentarios cerrados
Supongo que debe de ser difícil saltarse la contraseña de inicio de sesión, pero no creo que tanto como la que encripta el disco duro.
Pero en principio solo con la contraseña de inicio de sesión ya podrías descrifrar el contenido.
Tu haces F(12345)= hash_de_descrifrado que estará almacenado en el PC y cualquiera que se lleve tu disco duro se está llevando ese hash que es el que realmente descifra el contenido.
Con el TPM lo que haces es guardar ese hash en el TPm y así no pueden llevarse el disco e intentar, por ejemplo, romperlo con un ordenador super potente por fuerza bruta o usar otras técnicas (como una tabla rainbow).
Sin embargo, he oído de gente que se ha llevado el chip igualmente con éxito. Así que supongo que todo depende de la sofisticación.
Lo del ataque "evil maid" consiste en troyanizar el initrd. En Linux se puede asegurar esa parte añadiendo una clave de usuario al Secure Boot y usándola para firmar el initrd (o el kernel, o módulos DKMS de ser necesario) cada vez que se regenera. El proceso está bien documentado ya.
#1 El TPM sirve para ligar el disco cifrado al hardware del equipo. Hay discos externos que lo hacen por defecto internamente. Esto significa que no puedes extraer el disco y salvar la información en otro equipo, aunque a nivel corporativo, con mecanismos de autenticación centralizados, funciona diferente. En ciertos escenarios, es un problema importante.
wiki.debian.org/SecureBoot