Voy a mover mi carpeta / boot / a un USB como medida de seguridad para proteger contra las vulnerabilidades de Full Disk Encryption. Mi pregunta es, ¿es posible permitir solo el arranque desde USB desde un solo dispositivo USB y no cualquier USB que esté conectado?
Gracias a todos
James
Dudo que esto sea posible configurar en el BIOS. Sin embargo, incluso si lo fuera, tiene un problema mayor: la única forma de identificar un dispositivo USB es por su proveedor y la identificación del dispositivo. Sin embargo, todos los dispositivos de un proveedor específico comparten la misma ID de dispositivo. Por lo tanto, incluso si pudiera incluir en su lista blanca su propio USB, también se aceptaría cualquier USB de esa misma marca. Además, estoy bastante seguro de que es fácil falsificar estas ID, por lo que incluso si no tuviera el dispositivo USB de la misma marca, podría falsificarlo.
Podría hacer uso de la función de inicio seguro presente en muchas computadoras, si la netbook lo admite y el fabricante no lo ha bloqueado a las teclas de inicio de Microsoft.
Lo que podría hacer entonces, es limpiar la base de datos de la clave de arranque seguro, y luego crear su propia clave de firma e instalarla en el BIOS como PK (clave de plataforma) y KEK (clave de intercambio de clave).
Después de esto, firmas el software / boot / en el USB con estas teclas.
Esto no impedirá que ningún otro USB inicie su computadora, por lo que si alguien se las arregla para copiar su llave USB, puede usar su propia copia. Pero no pueden modificar el software de arranque para, por ejemplo, filtrar la clave FDE, registrar la contraseña o insertar exploits en su sistema operativo cifrado.
Lea otras preguntas en las etiquetas usb linux disk-encryption boot