20 серпня 2023 року
Автор: Лія Роу
дата 20 серпня 2023 року
Корисне навантаження GRUB підтримувало LUKSv2 протягом довгого часу, але тільки з старосвітовським методом формування ключа PBKDF2; більшість Linux dm-crypt встановлень на LUKSv2 використовує засноване на argon2 формування ключа, який GRUB не підтримував. Це значить або: використовуйте LUKSv2 з PBKDF2 (менш безпечно), або LUKSv1 (так само), в GRUB.
На сьогодняшній день, Libreboot тепер підтримує формування ключа argon2 в своїй версії GRUB, яка запропонована в якості корисного навантаження coreboot в системі побудови Libreboot, і в випусках Libreboot.
Виправлення Libreboot argon2 засновані на цьому репозиторії AUR, який виправляв GRUB 2.06, і виправлення були перебазованими для використання з GRUB 2.12, який Libreboot використовує; перебазування було виконано Ніколасом Джонсоном. Ніколас написав мені електронною поштою, щоб сказати, що це було зроблено, і я потім злила роботу Ніколаса в Libreboot. Дякую, Ніколас! Подяка також іде до Аксель, хто є автором оригінальної роботи, яку Ніколас імпортував з Archlinux AUR.
The work on AUR, and Nicholas’s update based on it, was ultimately based on the work done by Patrick Steinhardt for the GRUB project, importing PHC Argon2.
Libreboot раніше документував, як завантажувати дистрибутиви з зашифрованого /boot
, що є добрим для безпеки, тому що складніше скомпрометувати машину, яка має зашифрований /boot
(що містить ядро linux), ніж якщо він не є зашифрованим, подібно більшості встановлень LUKS. В доповнення до цього, ви можете розглянути посилення GRUB, кроки подібні перевірці підпису GPG вашого встановленого ядра Linux.
Ці виправлення імпортують реалізацію PHC argon2 в версію Libreboot GRUB:
Argon2 є новішим формуванням ключа, якому надається перевага на сучасних встановленнях LUKSv2. Дуже рекомендовано, щоб ви оновились на argon2id, в точності, для вашого встановлення.
Це є недоступним для поточного випуску Libreboot 20230625, але буде доступним в наступному випуску Libreboot. Наразі, ви можете зібрати образ ROM самостійно з системи побудови Libreboot, lbmk, подібним чином:
Як побудувати образи ROM Libreboot з джерела
Це реалізація argon2 для посилання, що тепер використовується Libreboot, і апстрім проект для цього розміщено тут:
https://github.com/P-H-C/phc-winner-argon2
PSA: оновіть ваш LUKS метод формування ключа від Метью Гарретт, розповідає більше про важливість безпечного формування ключа (в точності argon2id) на зашифрованих встановленнях Linux.
Завжди використовуйте шифрування!
Markdown: https://libreboot.org/news/argon2.uk.md
Ця сторінка була створена з Untitled Static Site Generator.