EFI: encripta ESP

3

Me pregunto si es posible cifrar una partición del sistema EFI (ESP)?

Me gustaría configurar una máquina virtual (VirtualBox) usando EFI como administrador de arranque que es compatible con el sistema operativo usado (archlinux). ¿Hay alguna forma de cifrar la partición de inicio (ESP) utilizando dm-crypt con LUKS? Me gustaría usar el cargador de arranque de systemd para ejecutar el kernel sin la necesidad de algo como grub.

Otra cosa: ¿Tiene sentido que la partición ESP se deba cifrar debido al hecho de que el kernel cargado podría ser una firma verificada?

    
pregunta maxik 05.07.2016 - 12:20
fuente

3 respuestas

5

En este momento no parece haber ningún firmware que admita ESP encriptados, pero hay poca necesidad de eso.

El arranque seguro se encarga de verificar la firma de la aplicación EFI que está a punto de cargar, por lo que se tratan los bootkits / rootkits o sistemas operativos maliciosos.

Si realmente tiene datos confidenciales en el ESP, lo mejor que puede hacer es colocar los datos confidenciales en una partición cifrada separada y colocar una aplicación EFI en el ESP que pueda entender y descifrar su partición cifrada. Un pequeño Linux o incluso GRUB que tiene soporte básico para LUKS.

    
respondido por el André Borie 03.10.2016 - 12:35
fuente
1

ESP no se puede cifrar porque el firmware (UEFI) necesita la capacidad de leerlo. (Los cargadores de arranque efi son solo archivos normales almacenados en esp).

    
respondido por el yyy 02.11.2016 - 13:16
fuente
0

No puede cifrar toda la partición ESP porque el cargador de arranque no puede desbloquear un contenedor dm-crypt para continuar el proceso de arranque.

Puede asegurar la partición /boot usando un partición encriptada GRUB porque Grub tener la capacidad de desbloquear un LUKS encriptado /boot

    
respondido por el GAD3R 02.11.2016 - 13:31
fuente

Lea otras preguntas en las etiquetas