Зашифрований /boot/ на LUKSv2 тепер є можливим в Libreboot GRUB (PHC argon2 імпортовано)

Лія Роу

20 серпня 2023 року


English | українська

попередній індекс

Автор: Лія Роу

дата 20 серпня 2023 року

Вступ

Корисне навантаження GRUB підтримувало LUKSv2 протягом довгого часу, але тільки з старосвітовським методом формування ключа PBKDF2; більшість Linux dm-crypt встановлень на LUKSv2 використовує засноване на argon2 формування ключа, який GRUB не підтримував. Це значить або: використовуйте LUKSv2 з PBKDF2 (менш безпечно), або LUKSv1 (так само), в GRUB.

На сьогодняшній день, Libreboot тепер підтримує формування ключа argon2 в своїй версії GRUB, яка запропонована в якості корисного навантаження coreboot в системі побудови Libreboot, і в випусках Libreboot.

Виправлення Libreboot argon2 засновані на цьому репозиторії AUR, який виправляв GRUB 2.06, і виправлення були перебазованими для використання з GRUB 2.12, який Libreboot використовує; перебазування було виконано Ніколасом Джонсоном. Ніколас написав мені електронною поштою, щоб сказати, що це було зроблено, і я потім злила роботу Ніколаса в Libreboot. Дякую, Ніколас! Подяка також іде до Аксель, хто є автором оригінальної роботи, яку Ніколас імпортував з Archlinux AUR.

Чому це має значення?

Libreboot раніше документував, як завантажувати дистрибутиви з зашифрованого /boot, що є добрим для безпеки, тому що складніше скомпрометувати машину, яка має зашифрований /boot (що містить ядро linux), ніж якщо він не є зашифрованим, подібно більшості встановлень LUKS. В доповнення до цього, ви можете розглянути посилення GRUB, кроки подібні перевірці підпису GPG вашого встановленого ядра Linux.

Ці виправлення імпортують реалізацію PHC argon2 в версію Libreboot GRUB:

Argon2 є новішим формуванням ключа, якому надається перевага на сучасних встановленнях LUKSv2. Дуже рекомендовано, щоб ви оновились на argon2id, в точності, для вашого встановлення.

Як отримати це

Це є недоступним для поточного випуску Libreboot 20230625, але буде доступним в наступному випуску Libreboot. Наразі, ви можете зібрати образ ROM самостійно з системи побудови Libreboot, lbmk, подібним чином:

Як побудувати образи ROM Libreboot з джерела

Наступне читання

Реалізація PHC argon2

Це реалізація argon2 для посилання, що тепер використовується Libreboot, і апстрім проект для цього розміщено тут:

https://github.com/P-H-C/phc-winner-argon2

Стаття Метью Гарретт

PSA: оновіть ваш LUKS метод формування ключа від Метью Гарретт, розповідає більше про важливість безпечного формування ключа (в точності argon2id) на зашифрованих встановленнях Linux.

Завжди використовуйте шифрування!

Markdown: https://libreboot.org/news/argon2.uk.md

Підписатися на RSS

Індекс сайта

Ця сторінка була створена з Untitled Static Site Generator.