T
Size: a a a
2022 January 02
AW
А вот интересно, как можно было бы при обновлении подать passphrase для зашифрованного раздела во время загрузки? Даже если закрыть глаза на безопасность (положить его, скажем, в файл, а затем передать на вход)
AW
смысл в шифровании есть. Я размышляю об одноразовом вводе и удалении этого файла
AW
ну вот в этом-то и проблема, что он во-первых далеко не везде есть, а во-вторых, для того, чтобы получить доступ к ключам TPM, для него надо тоже passphrase
АВ
имхо обновление (тем более такого масштаба) всегда должно проводиться руками, как бы там не визжали про всякие as a service и прочее
AW
ну хорошо, обновление это да. Но самый обычный reboot зашифрованной системы...
АВ
ну это уже другое - да )
AW
положить в файл ничего не даст, потому что тут получается проблема курицы и яйца — сначала надо расшифровать диск, чтобы оттуда считать passphrase для его расшифровки. А как еще можно было бы?
AW
на ум приходит пока одни кАстыли :)
AW
через serial port можно подключиться и передать passphrase. Но это тоже далеко не о всех системах.
СГ
iLO/iBMC как вариант.. Доступ к консоли нужен, короче
АВ
Ну в теории можно пытаться писать куда-нибудь в бут и релинкать каждую загрузку)
АВ
Но реализовывать это коречно никто не будет)
AW
Это да. Я просто жду пока остынет чай и решил себе задать такую задачку. Чисто теоретически :)
СГ
Keydisk отдельно торчащий в сервере или даже на том же самом диске (на отдельном разделе) может помочь, но смысла в таком шифровании нет совсем
АВ
Обычно такое шифрование с примотанным скотчем ключом - "для галки"))
АВ
Хорошо если не в виртуалке с бекапами в вмдк)