Déencryption complet du disque via DHCP

Je voudrais implémenter le encryption complet du disque sur tous les clients. Mais pour éviter que des personnes n'entrent dans le code d'access FDE lors de leur démarrage, je me request si le code d'access peut être dissortingbué par DHCP ou similaire.

L'idée est que FDE devrait protéger l'ordinateur portable quand il est volé ou à l'extérieur de l'entreprise, mais s'il est utilisé sur le réseau de l'entreprise, nous supposons qu'il n'est pas volé.

Idéalement, je voudrais que le code d'access soit un code d'access unique, donc si quelqu'un renifle la réponse DHCP, il ne sera pas en mesure de déchiffrer l'ordinateur portable en général.

Comme cela impliquera probablement l'écriture d'un Custom Initramfs, ou au less un hook, vous pourriez find ces ressources intéressantes (ignorer les bits spécifiques de Gentoo):

L'exemple du server autodécryptant produit une key de encryption comme celle-ci:

( # CPU: grep -vE '(MHz|bogomips)' /proc/cpuinfo # RAM: tail /proc/iomem # MAC-Address: (requires network drivers) cat /sys/class/net/*/address # Block devices and partitions (ignore optional CD drive): grep -v sr0 /proc/partitions # Random file: cat /root/secret ) | sha512sum | xargs echo -n > /root/key 

C'est censé protéger contre quelqu'un qui marche sur votre server et qui sort les disques durs; le disque dur lui-même ne connaît pas le processeur, la RAM, l'adresse MAC du server pour qu'il ne puisse pas se décrypter lui-même en dehors de la boîte à laquelle il appartient.

Dans le cas d'un ordinateur portable (où tout le dispositif est volé), ce n'est pas utile car le voleur aurait toutes ces données avec lui, vous devez donc replace cela avec vos données DHCP à la place.

Donc, après avoir obtenu l'adresse IP et tel via DHCP, il pourrait être quelque chose comme:

 ( cat /sys/class/net/*/address ip addr show ip route show cat /etc/resolv.conf ) | sha512sum | xargs echo -n > /root/key 

Et cela vous donnerait un hash / mot de passe basé sur votre adresse MAC, l'adresse IP et la route, et les servers DNS et autres.

Cela fonctionnerait aussi longtime que DHCP mettrait toujours l'ordinateur portable de la même manière, de sorte que le server DHCP devrait se souvenir de la configuration de l'ordinateur portable pour toujours ou que l'ordinateur portable cessera de démarrer.

Une telle solution est toujours un peu volatile alors assurez-vous d'utiliser LUKS en prenant en charge plusieurs phrases de passe, créez une phrase secrète de secours au cas où le DHCP se casse.

Ce n'est pas non plus très sûr; cette information de DHCP est publique (à celui utilisant l'ordinateur portable) et probablement pas difficile à deviner (pour n'importe qui utilisant un autre ordinateur portable dans le même environnement), ainsi il protégera contre le voleur moyen mais pas le collaborateur légèrement tech- enfer.