The wikis are now using the new authentication system.
If you did not migrate your account yet, visit https://idp-portal-info.suse.com/

SUSE "Nasıl Yapılır" ile Şifrelenmiş Kök Dosya Sistemi

(Encrypted Root File System with SUSE HOWTO sayfasından yönlendirildi)
Şuraya atla: kullan, ara

Giriş ve Motivasyon

Dizüstü bilgisayar kullanıcıların çoğu bilgisayar hırsızlıkları ile ilgili problemler hakkında ancak ilk hırsızlık gerçekleştikten sonra düşünmeye başlarlar. Eğer dizüstü bilgisayar yeni bir ürün için kaynak kodunu, yada bir şirketin gizli belgelerini, veya politik çürüme ile ilgili bir makale için notları, ya da yalnızca bir aşk mektubunu taşıyorsa, bu takdirde bu bilginin yanlış ellere düşmesi bir potansiyel felaket anlamına gelmektedir.

Dizüstü bilgisayarın potansiyel yıkıntı sonuçlarını dengelemek için. bir insan ya dizüstü kullanmamayı seçecek, ya da şifreleme cihazları kullanacak veya bilgiyi korumak maksadıyla yazılım şifreleme yöntemine başvuracaktır. [1] [2][3] [4] [26] [28]. Son seçenek olan yazılım çözümü donanım çözümünden daha esnek ve modern bir CPU ile kullanıcılar çabucak uygulanan şifreleme/şifre çözme yöntemiyle ilgili yükü farketmiyeceklerdir. [19] [20][21].

Kök Dosyalama Sistemini Neden Şifrelemeli

İlk bakışta insan en hassas dosyaları veya tüm kullanıcı dosyalama sisteminindeki (/home) hassas bilgileri şifrelemeye eğilimli olur. Eğer kişi kök dosya sistemini şifrelemiyorsa, o zaman SUSE kurulum yöntemi [5] tarafından desteklenen olduğu kadar kullanıcı alanında çalışan başka yazılımlarca da [6] [23] desteklenen bu basit çalışmayı yapabilir. Böyle bir yaklaşımdaki sorun, şifrelenmiş bir dosya içeriğinin diğer alanlara sızma eğilimidir, swap, /tmp,ve /var. Buna ek olarak, program editörü ve data ile çalışmakta kullanılan diğer yazılımlar, başka alanlarda takas dosyaları yaratabilirler. Son olarak dosya ile ilgili dosyanın hacmi, izinleri, erişim süresi vs. yardımcı veriler aynı şifrelenmiş alanda saklanmamış olabilirler ayrıca Reiserfs [14] gibi modern günlük tutma programları (SUSE'nin varsayılan dosya sistemi) bu sorunları arttırmaktadır. Öyleyse senel olarak, kullanıcı dosya sisteminden kök dosya sistemine sızıntıyı tam olarak engellemek kolay değildir.

Problemin ne kadar kapsamlı olabileceğini anlamak için bir şirketin intranetinde şirketin gizli bilgilerinin paylaşımını sağlayacak bir bir ağ sunucusu kurduğunu varsayalım. Eğer bir çalışan bir doc dosyasını OpenOffice eklentisini Firefox kullanarak bu ağdan inceliyorsa o zaman bütün dosya /tmp olarak silininceye kadar depolanır. Bu nedenle takas alanında dosyanın parçacıkları bulunmasına rağmen bütün döküman /tmp alanında görüşe hazırdır.

Bu nedenle izlenecek en uygun işlem tüm kök dosya sisteminin hassas data ile birlikte şifrelenmesidir.

Kök dosyalama sisteminin şifrelenmesine tek engel SUSE kurulum rutinleri tarafından heniz desteklenmiyor olmasıdır. Web'de kök dosya sistemlerinin diğer Linux dağıtımları [8] [8] [9] hakkında değişik makaleler bulunmaktadır. Ne yazık ki bu talimatlar SUSE için tam olarak geçerli değildir. İncelemeyi derinleştirirsek şifrelenmiş bir kök sistemi ile çalışmak önyükleme komut dizisi ile oynamayı gerektirir bu da farklı dağıtımların pazar payı kapmak için yarıştıkları alanlardan biridir.

Bu "Nasıl Yapılır" çalışmasının ana amacı şifrelenmiş kök sistemleri ile çalışan SUSE'ye özgün talimatları ortaya koymaktır. Bunu gerçekleştirirken bu "Nasıl Yapılır" çalışması başka dağıtımlardan [8] [8] [9] bilgi alır ve ana SUSE akımı ile kolay çalışan kısıtlı miktarda değişiklik içeren SUSE kurulum ve önyükleme komut dizisini öngörür. (SUSE ile çalışması için tasarlanmasına rağmen bu talimatların çeşitlemeleri başka Linux dağıtımları ile çalışabilir ama başka bir şeyde henüz denenmemiştir.)

Başlangıç

Önkoşullar

Bir SUSE 10.1 kurulum kaynak medyası ve bir eksik paketin indirilmesi için internet bağlantısı.

İş Akışı

SUSE kurulum işlemi kök dosya sisteminin şifrelenmesini desteklemediği için bundan sonraki en iyi yaklaşım Linux'u çalıştırmak için bir canlı CD (işletim sistemini düzden çalıştıran bir cd) kullanmak ve daha sonra sabit diskte bir şifreli bölüntü yaratmak olacaktır. Ama bu canlı CD standart SUSE dağıtımının içinde değildir ve bunu yaratmak burada açıklanan işlemden daha çok vakit alacaktır. (Canlı bir CD yaratmaktan daha az uğraş gerektiren alternatif bir yaklaşım SUSE'yi bir USB Flash sürücüye kurup, Linux'u oradan çalıştırıp sonra şifrelenmiş disk bölüntüleri yaratmaktır. Son olarak burada pratik yaklaşım iki bölüntü yaratarak SUSE'yi bölüntülerden birine kurup, diğerini şifrelemek, sonra da SUSE'yi birinci bölüntüden ikincisine taşımaktır. [9].

Önerilen yordam için işakışına bir üst düzey bakış şöyle olabilir :

  1. Bir bölüntüyü kök atayarak SUSE'nin kurulumunu yapın.
  2. Şifrelenmiş bir takas bölüntü yaratın.
  3. Geri kalan bölüntülerden birinde şifrelenmiş bir bölüm yaratın.
  4. Yeni şifrelenmiş bölüntüye kök dosya sistemini kopyalayın.
  5. Şistemi önyükleyen yeni bir ana ram disk (initrd) yaratın.
  6. Yeni bölüntüde önyüklemenin çalışıp çalışmadığını kontrol edin.
  7. Orijinal kök bölüntüyü silin ve kullanıcı dosya sistemi için başka bir şifrelenmş bölüntü ile değiştirin.

SUSE Kurulumunu Yapmak

Bir dizüstü bilgisayar, tek kullanıcı makinası olduğu için basit bir bölüntüleme sistemi kullanır: örneğin takas için bir bölüntü, kök dosya için "/" e yapılandırılmış bir bölüntü, kullanıcı dosya sistemi için "/home" de yapılandırılmış bir bölüntü. Genellikle en büyük bölüntü "/home" a ayrılmıştır; ancak kurulum yordamının kısıtlamaları nedeniyle kök dosya sistemi önce, daha sonra kullanıcı dosya sistemin için kullanılacak olan bölüntüye kurulacaktır (genelde en büyük bölüntü) bundan sonra da şifrelenmiş dosya sistemi yerine yerleştiğinde daha küçük bir bölüntüye kopyalanacaktır.

Bu üç bölüntünün her biri şifrelenecektir. Bu nedenle sistemi önyükleyebilmek için bizim ek olarak önyükleme dosyalarını içeren küçük, şifrelenmemiş bir bölüme ihtiyacımız olacaktır. Bu bölüntü "/boot" da yer alacaktır. Önyükleme bölüntüsünü yaratmanın iki seçeneği vardır. Ya aynı diske koyarsınız, ya da USB flaş sürücü (USB bellek) gibi harici bir medya kullanabilirsiniz. Değişik seçeneklerin tartışması için #FAQ 'a bakınız.

İşlem başladığında doğru bölüntülemeyi yapabilmek için uzman bölüntü moduna girmeniz gerekir

Bölüntü için en az 16 ya da çoklu kernel kullanılacaksa daha fazla MB'lık bir alan ayırınız. (32 MB daha güvenli bir seçimdir ve modern dizüstülerin pek çoğunda sabit diskte kullanabileceğiniz fazla alan vardır.) Bu bölüntünün "/boot" bölgesinde bir montaj noktasına ihtiyacı vardır.

USB flaş sürücü kullananlara : Sabit sürücüyü kurulum CD'si ile başlatmadan önce flaş sürücüyü yerine yerleştirin. SUSE. bilgisayarın diğer disk üniteleri ile birlikte, flaş sürücüyü de tanıyacaktır. Bunu "Bölüntü Uzmanı" menüsüne yerleştirecektir. USB flaş sürücüsü Linux dosya sistemi ile formatlanmış olmalıdır (ext2 yeterlidir) ve "/boot" bölümüne monte edilmelidir. "Fstab Options" diyaloğunda "Sistem Başlangıcında monte etmeyiniz" ibaresinin yanındaki doğrulama kutucuğunui tıklayınız. Bu gereklidir günkü USB aygıtları boot.localfsi, fstab'e girişleri monte ettikten sonra yaratılırlar. (Eğer gerek duyarsanız, her zaman USB flaş sürücüsünü daha sonra yeniden monte edebilirsiniz.)

Tartışma ortamı yaratmak için bir bölüntü çizelgesinin şöyle olduğunu varsayalım:

device mount point
/dev/hda1 /boot
/dev/hda2 swap
/dev/hda3 /home
/dev/hda4 /

(Daha önce de belirtildiği gibi ana fikir ilk önce hda4 te kök bölüntünün kurulumunu yapmaktır. Sonra hda3 te şifrelenmiş bir dosya sistemi yaratmak, hda4 ten hds3'e kök sistemi kopyalamak ve son olarak hds4'te kulanıcı dosya sistemi için başka bir şifrelenmiş bölüntü yaratmaktır)

Şimdi kurulumu yapılacak olan yazılım paketlerin seçimine kadar standart kurulum yordamına devam edin; . Normalde şu paketlerin kurulumu yapılmamıştır ama daha sonra "cryptsetup" paketi ve initrd: nin derlenmesinde gerekli olacaklardır

  • kernel kaynak
  • e2fsprog'ın geliştirilmiş sürümü ve
  • pot un geliştirilmiş sürümü

Şimdi kurulumu tamamlayın ve kök olarak giriş yapın. (Normal bir kullanıcı olarak giriş yapmayın çünkü kullanıcının dosya sisteminin montaj noktası değişecektir.)

Bu noktada şifreleme yazılımını seçin. Linux da "cryptsetup-luks" [10], "loop-aes" [2] ve "truecrypt" [3] gibi seçenekler bulunmaktadır. Bu "Nasıl Yapılır" makalesi kullanımı daha kolay olduğu için cryptsetup-luks yordamını işleyecektir. [1] [4] [8] [22][28] . (Sistem başkanları için LUKS sisteminin artısı tek bir bölüntü üzerinde çoklu şifreleri tanımlama imkanı vermesidir. Bu kullanıcılar şifrelerini unuttuklarında şifrelenmiş verinin bulunmasına yardım etmektedir)

"cryptsetup-luks" kaynak kodunu [10] dan indirin, derleyin ve kurun. (Not: Daha sonra yaratılacak initrd 'i şişireceği için statik bağlantılı bir sürüm kullanmanıza gerek yoktur

Şifreli bir Takas Bölüntüsü Yaratın

Şifreleme yazılımını yakından tanımak için takas bölüntüsünü şifreleyerek deneme yapın. (Yolunda gitmeyen bir şey olursa tamiri kolaydır.)

LUKS sistemin [10] [28] avantajlarından biri verien parolayı şifreleme işlemi için doğrudan kullanmamasıdır. 128 bitlik bir gelişigüzel anahtar üretilmekte ve bu anahtar verilen parola ile birlikte şifrelenmektedir (rasgele üretilmiş salt ile birlikte - Salt = Bilgisayar saldırılarını etkisiz kılmak üzere rasgele bitlerin bir anahtar veya parola ile birleşmesi) Bu nedenle her farklı bölüntü için, ana anahtarı korumak amacıyla aynı parolayı kullanmak rahat ve güvenlidir. (Buna alternatif olarak her bölüntü için ayrı parola kullanmak hem elverişsizdir, hem de güvenlik arttırıcı bir nitelik taşımamakladır. Bu nedenle daha ileri gitmeden sözlük saldırılarına karşı korumalı ve kaba kuvvet saldırılarına karşı dirençli iyi bir parola seçin.

Önce yapmanız gereken işlem, büyük bir olasılıkla daha önce yüklenmemiş olan, kernele bazı modülleri yüklemektir. (Daha sonra bunlar initrd tarafından yüklenecektir.)

   modprobe dm-mod
   modprobe dm-crypt
   modprobe aes
   modprobe sha256 
   modprobe sha1


İlk modül sürücü eşleme modülüdür, ikinci sürücü eşleme kriptografi modülüdür, üçüncüsü varsayılan koddur, dördüncüsü varsayılan kıyımlı algoritmdir ve beşinci ise varsayılan LUKS kıyımlı niteliklerdir.)

Halen üzer,nde bulunan takatı kapatın veya demonte edin.

   swapoff -a
   umount /dev/hda2

Takas bölüntüsünü rasgele data ile doldurun. (Bu birkaç dakika sürecektir.)

   dd if=/dev/urandom of=/dev/hda2

Şifrelenmiş takas bölüntüsünü aşağıdaki komut ile devreye sokun:

   cryptsetup -v --key-size 256 luksFormat /dev/hda2

Bu komut önce parolayı isteyecek, daha sonra aes kodu kullanarak cbc-essiv modunda yeni bir şifrelenmiş bölüntü yaratacaktır. Bu varsayılan ayarlar NIST [11] and the NSA [12] [13] ve diğer bazı uzmanlar tarafından tavsiye edilmektedir. (Bu yazılım paketinin ne NSA ne de NIST tarafından desteklenmediğini eklememiz gerekir)

LUKS bölüntü başlık bilgisini görmek için :

   cryptsetup -v luksDump /dev/hda2 

terimini kullanınız.

Şimdi yeni şifrelenmiş bölüntüyü açınız :

   cryptsetup -v luksOpen /dev/hda2 swap

Bu /dev/mapper swap - takas denen yeni bir sürücü tanımlamış olmalıdır. Bu takas aygıtını kullanmak için bir takas dosya sistemi ekleyin ve takası yeniden açın.

   mkswap /dev/mapper/swap
   swapon /dev/mapper/swap

"free" komutunu kullandığınızda yeni takas alanınızı görmüş olacaksınız.

Aygıt tanıtan yazılım alttaki aygıta bütün I/O yu tanıtan I/O ince bir yazılım katmanıdır. Bu durumda görevi veri şifrelemek ve çözmektir.

Kalan Bölüntülerden Birinde Şifreli bir Dosya Sistemi Yaratın

Takas ile yeteri kadar tecribe edindiğinize göre artık kök dosya sistemine geçebiliriz.

Yeni kök dosya sistemini hazırlamak için /home'u demonte ediniz.

   umount /dev/hda3

/dev/hda3'i gelişigüzel veri ile doldurunuz. (Bölüntünün büyüklüğüne ve CPU'nuzun hızına göre bu, onlarca dakikadan, birkaç saata kadar sürebilir.

   dd if=/dev/urandom of=/dev/hda3

dd komutu sona erince, kök bölüntü için takasta yaptığınız gibi aygıt eşlemesi yapın: (Tek bir giriş yapmak için aynı parolayı kullandığınızdan emin olun.=

   cryptsetup -v --key-size 256 luksFormat /dev/hda3

Şifrelenmiş bölüntüyü görmek için

   cryptsetup luksDump /dev/hda6

komutunu kullanın.

Şimdi şifrelenmiş bölüntüyü açın

   cryptsetup luksOpen /dev/hda3 root

Bu işlem, daha önce olduğu gibi /dev/mapper,'da bir giriş yaratmış olmalıdır. Ama bu kez root olarak.

Yine bu yeni aygıtta bir dosya sistemi kurmamız gerekmektedir. (SUSE için varsayılan dosya sistemi Reiserfs'tir ama sistem ilk kurulduğunda kullanılan dosya sisteminin kullanılması gerekmektedir.)

   /sbin/mkfs.reiserfs -j /dev/mapper/root /dev/mapper/root

Yeni Şifrelenmiş Bölüntüye Kök Dosya Sistemini Kopyalayın

Yeni şifrelenmiş system yaratıldığında yeni sisteme kök dosya sistemi taamamen kopyalanmalıdır. Once bir yere monte edilmelidir:

   mkdir /mnt/root
   mount /dev/mapper/root /mnt/root

Burada bütün dosyaları bir dizin ağacından diğerine, erişim izinlerini ve diğer sembolik linkleri ve diğer özel dosyaları koruyarak kopyalama metodu şöyledir : (dikkat ederseniz /dev, /proc and /sys 'i kopyalama gereği yoktur. Çünkü bunlar sistem önyüklendiğinde yeniden yaratılacaklardır.)

   cd /
   find bin boot dev etc home lib media opt root sbin srv subdomain tmp usr var\
           -depth -print0 | cpio -pmd --null /mnt/root
   mkdir /mnt/root/dev
   mkdir /mnt/root/proc
   mkdir /mnt/root/sys

/mnt/root/etc'e cd yapın ve fstab'i harhangi bir metin editöründe açın. Kök dosya sistemi için bir giriş olacaktır. Örneğin ikinci sütun yalnızca basit bir "/". içermektedir. Birinci kolondaki aygıtı, /dev/hda4 örneğin /dev/mapper/root ile değiştirin. Şimdi şöyle görünecektir:

  /dev/mapper/root     /    reiserfs   acl,user_xattr        1 1

Bölüntü monte olduğunda kök dosya sistemine bütün I/O lar aygıt eşlemlemeden saydam olarak geçecektir.

Aynı şekilde bütün girişleri kaldırarak fstab'a şifreli takas için bir giriş ekleyin.

  /dev/mapper/swap   swap  swap  defaults  0 0

Sistemi Önyüklemek İçin Yeni Bir Başlangıç Ram Disk (initrd) Yaratın

Yeni şifreli dosya sistemini kullanabilmek için, sistem önyüklendiğinde deşifre edilmelidir. Bu iş en iyi şekilde, özel olarak yapılandırılmış, başlangıç ram disk'i ile olur (initrd) [15].(Kernelin yeniden derlenmesini gerektirmesine rağmen istenirse başlangıç dosya sistemi de kullanılabilir (initramfs) [8] [27], Genelde SUSE o bilgisayara mahsus aygıt sürücülerinin yüklenmesi için gerekli başlangıç ram diski initrd 'i yaratır. Bu nedenle genel bir kernel ile gönderilen program daha sonra özel ihtiyaçlar için kernelin yapılandırılması için yüklenebilir kernel modülleri kullanabilmesine olanak sağlar.

Prensip olarak initrd'ı elle yaratmak mümkünken [15] [16] donanım yapısının ve kernelin her değişişinde yeniden yapılanmasını gerektirdiği için, bu yöntemin hataya yatkın bir yöntem olduğunun belirtilmesi gerekir. SUSE tarafından sunulan mkinitrd paketi [17] otomatik olarak initrd'i oluşturacağı için bu işin elle yapılması gereksizdir. Burada uygulanan yaklaşım, komut dosyasını çalıştıran, mkinitrd'ı değiştirerek, otomatik olarak, şifrelenmiş kök dosya sistemi için gerekli initrd yi yaratmaktır. (SUSE 10.1 ile paketlenmiş olan mkinitrd 'in yerini alan) değiştirilmiş mkinitrd'i buradan indirebilirsiniz [18].

Bu programı kullanmadan önce /boot bölümünde bulunan initrd'in bir kopyasını almak akıllıca olur. En iyi yöntem bu dosyayı /boot ta init-orig gibi başka bir dosyaya kopyalamaktır. Böylece yolunda gitmeyen birşey olduğunda bu dosyayı yedek olarak kullanabilirsiniz.

Yeni mkinitrd'i kullanabilmek için:

   mkinitrd -d /dev/mapper/root

yazın. "-d /dev/mapper/root" seçeneği yeni kök sürücüyü belirler ve mkinitrd ilk kez çalıştırıldığında belirtilmelidir. Sistem şifrelenmiş bölüntüyü kullanmaya başladığında artık bu seçeneğe ihtiyaç yoktur. Yeni mkintird "/dev/mapper" daki aygıtları inceleyerek hangilerinin şifrelenme kullandığını ve önyükleme yapılırken hangi kodların kernele yükleneceğinin saptar. Daha sonra başlangıç önyükleme evresinde, parolayı aramak ve tüm dosya sistemlerini deşifre etmek üzere init komut dosyasına ufak bir bölüm ekler.

Yeni Kök Dosya Sisteminin Önyükleme Menüsünde Bir Giriş Yaratın

Grub menüsündeki son iş şifrelenmiş bölüntü için Grub menüsünde bir giriş yaratmaktır. /boot/grub/menu.lst düzenleyerek yeni parametreleri içeren YENİ bir giriş yaratın: Şunun gibi:


   ###The encrypted root partition
   root (hd0,0)
   kernel /vmlinuz root=/dev/hda3 vga=0x314 splash=silent showopts
   initrd /initrd

Sistemin doğru dürüst önyüklendiğinden emin olmadan ESKİ girişlerin SİLİNMEMESİNİ öneririz. (Not : Bu amaçla kaydedilmiş eski initrd'i kullanabilmeniz için eski girişlerini değiştirmeniz gerekecektir.)

Şimdi bütün açık dosyaları kapatın ve şifrelenmiş bölüntüyü kullanarak önyüklemeyi deneyin.

Not: USB flaş sürücü kullanıyorsanız BIOS ayarlarınızı değiştirerek USB aygıtının sabit diskten önce gelmesini sağlamanız gerekebilir.

Eski Özgün Kök Bölüntüsünü Silin ve Yerine Şifrelenmiş Dosya Sistemini Yerleştirin

Herşeyin doğru çalıştığından emin olduktan sonra ilk özgün kök bölüntüsünü silin ve başka bir şifrelenmiş bölüntü ile değiştirin :

   umount /dev/hda4
   dd if=/dev/urandom of=/dev/hda4
   cryptsetup -v --key-size 256 luksFormat /dev/hda4
   cryptsetup luksOpen /dev/hda4 home
   /sbin/mkfs.reiserfs -j /dev/mapper/home /dev/mapper/home
   mount /dev/mapper/home /home

fstab'ı düzeltin ve /home girişi ekleyin. Örneğin:

   /dev/mapper/home   /home  reiserfs  acl,user_xattr  1 2

mkinitrd'i yeniden çalıştırarak initrd için /home bilgisini ekleyin.

   mkinitrd

Yeni Bir Kullanıcı Hesabı Ekleyin

Makineyi yeniden başlatın. Yeni bir kullanıcı ekleyin ve tadını çıkarın. Not: Dizüstü bilgisayar genelde tek kullanıcılı olduğu için ve deşifre parolası önyükleme yapılırken verildiği için, kullanıcı seansı için sistemin doğrudan başlamasını sağlamak üzere yapılandırılmanın uygulanması güvenli olacaktır. Bu işlem kullanıcıyı ek bir parola girişinden kurtaracaktır.

SSS

Tam Olarak Bu Yöntem Bilgisayarı Hangi Tür Saldıralara Karşı Korumayı Amaçlar ?

Burada açıklanan uygulama, bir dizüstü bilgisayarını (ya da başka türk bilgisayarı) aşağıdaki saldırılardan koruyacaktır.

  • Bir dizüstü çalınıp, içindeki bilgiler nedeniyle şans eseri kar sağlandığında. Genelde hırsız dizüstünü bilgisayarını özel olarak değil sadece değeri için çalar. Bu tür hırsız bilgisayarı, içindeki korunmasız bilgileri araştıracak ve bu bilgilerden kar sağlayabilecek gerekli bağlantılara sahip kişilere satacaktır.
  • İkinci olarak en sık rastlanan saldırı, hırsızın bilgisayarın içindeki bilgilerin değerini bildiği için özel olarak hedeflediği durumlardır. Bu durumda hırsız bilgiye nasıl ulaşacağını ve bu bilgiyi nasıl kullanacağını bilir.

Önyükleme için USB Flaş Sürücü Kullanılmalı mı?

Bir flaş sürücü kullanılması saldırganın önyükleme bölüntüsünü değiştirip bozmasını önler, (örneğin biri kapalı iken bilgisayara erişebilir, ana anahtarı ele geçirerek içinde Trojan atı bulunan yeni bir kerneli, bilgisayarın çalınmasından sonra bulabileceği, sabit diskte bir yere kaydedebilir. Kernel'i USB flaş'a taşımak bu tür saldırıyı önleyebilir ama aynı zamanda sorunu bilgisayarı korumaktan, flaş sürücüyü korumaya kaydırır. Bu tür saldırı, yukarıda sözü edilen saldırılardan çok daha girift olduğu için olasılığı da düşüktür -- Kullanıcının yüksek risk içeren, sendika organizatörleri, başka tür insan hakları çalışanları, hükümet adına, yanlış davranışta bulunanları ihbar eden kişi ve endüstriyel casusluğun yaygın olduğu alanlarda çalışan işçiler gibi insanların içinde bulunduğu, bir gruba dahil olması dışında. Eğer bir insan bu tür, girift saldırıların kurbanı olma yüksek riskini taşıyorsa USB flaş sürücü kullanlanmayı gündemine almalıdır.

Önyükleme için USB flaş sürücü kullanımının engeli ise sürücüyü bilgisayardan ayrı olarak taşımak ve dolayısıyla sürücüyü kaybetme riski ile karşı karşıya kalmaktır. Flaş sürücüyü bir seyahatte iken kaybederseniz dönünceye kadar bilgisayarınızı açamıyabilirsiniz, tabii orada da yedekleme sürücünüz çalışır durumda ise.

Burada Sözü Edilen Yöntemin Bilinen Zayıf Noktaları Nelerdir?

Fruhwith [4] [26] sabit diski sifrelemedeki bir dizi güvenlik açığını tartışır. Özellikle, gizli damga güvenlik açığı [24] ile ilgili en önemli sorunun, dm-crypot için, essiv şifreleme modunun önerilmesi ile aşıldığına not düşmektedir.

(ESSIV =Encrypted Salt-Sector IV) (Salt = Bilgisayar saldırılarını etkisiz kılmak üzere rasgele bitlerin bir anahtar veya parola ile birleşmesi)

Diğer yandan Osvik [25] dm-crypt'e, çalışırken yapılan başarılı bir yan kanal saldırısını tartışmaktadır. Bu saldırıda çalışan bir bilgisayardan, özel olarak hazırlanmış bir komut dosyası, herhangi bir bölüntünün ana anahtarını çalabilmektedir. Bu konu, ciddi bir zayıflık olmasına karşın, burada sözü edilen yordamlar #SSS.1 ve #SSS .2, bölümündeki, sistemin kapalı olduğu gibi durumlarla ilgili olan saldırıları kapsamaktadır. Çalışan bir sistemin güvenliğini sağlamak güvenlik duvarları, erişim kontrolu ve yazılım bütünlüğü gerektirir. Bu konular, bu "NASIL YAPILIR" yordamı kapsamının dışındadır.

Referanslar

  1. dm-crypt: a device-mapper crypto target, http://www.saout.de/misc/dm-crypt/
  2. J. Ruusu,"loop-AES", http://sourceforge.net/projects/loop-aes/
  3. "True Crypt", http://www.truecrypt.org/
  4. C. Fruhwirth, "Linux hard disk encryption settings", http://clemens.endorphin.org/LinuxHDEncSettings
  5. J. Arnt, et al., "SUSE Linux Start-Up", http://en.opensuse.org/Distribution/SL-10.1/inst-source/docu/en/startup_en.pdf
  6. "EncFS Encrypted Filesystem", [http://encfs.sourceforge.net/
  7. C. Devine, "Encrypted Root Filesystem HOWTO", http://tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/
  8. "SECURITY System Encryption DM-Crypt with LUKS", http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS
  9. M. Petullo,"Encrypt Your Root Filesystem", http://www.linuxjournal.com/article/7743
  10. "LUKS - Linux Unified Key Setup", http://luks.endorphin.org/
  11. M. Dworkin, "Recommendation for Block Cipher Modes of Operation", http://csrc.nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf
  12. "CNSS Policy No. 15, Fact Sheet No. 1", http://www.cnss.gov/Assets/pdf/cnssp_15_fs.pdf
  13. "Fact Sheet NSA Suite B Cryptography", http://www.nsa.gov/ia/industry/crypto_suite_b.cfm
  14. "Reiserfs", http://www.namesys.com/
  15. W. Almesberger and H. Lermen, "Using the initial RAM disk (initrd)", file:///usr/src/linux/Documentation/initrd.txt
  16. "SECURITY System Encryption DM-Crypt with LUKS/initrd", http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS/initrd
  17. "mkinitrd", http://www.novell.com/products/linuxpackages/suselinux/mkinitrd.html
  18. "SUSE mkinitrd for Encrypted Root File Systems", http://www.ccrl-nece.de/~greg/linux/mkinitrd-lerfs.tar.gz
  19. "Performance of Encryption Algorithms", http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio
  20. "dmcrypt versus loopaes", http://deb.riseup.net/storage/encryption/benchmarks/dmcrypt-v-loopaes
  21. M.-J. O. Saarinen, "Encrypted Watermarks and Linux Laptop Security", http://docs.indymedia.org/pub/Local/UkCrypto/wisa2004.pdf
  22. "Encryption Ideas for IMC UK", http://docs.indymedia.org/view/Local/UkCrypto
  23. "Encrypt filesystems with EncFS and Loop-AES", http://security.linux.com/print.pl?sid=06/03/13/1656228
  24. J. Ruusu,"Re: Oopsing cryptoapi (or loop device?) on 2.6.*", http://marc.theaimsgroup.com/?l=linux-kernel&m=107719798631935&w=2
  25. D.A. Osvik, A. Shamir and E. Tromer, "Cache Attacks and Countermeasures: the Case of AES", http://www.wisdom.weizmann.ac.il/~tromer/papers/cache.pdf
  26. C. Fruhwirth, "New Methods in Hard Disk Encryption", http://clemens.endorphin.org/nmihde/nmihde-A4-os.pdf
  27. J. Gustedt, "Early LUKS", http://www.loria.fr/~gustedt/early/
  28. C. Fruhwirth and M. Schuster, "Hard disk encryption with DM-Crypt, LUKS, and cryptsetup", http://www.linux-magazine.com/issue/61/Hard_Disk_Encryption_DM-Crypt_LUKS_cryptsetup.pdf