Como a criptografia / partição home com ecryptfs no linux interrompe a modificação maliciosa de / boot ou / (root)?

Esta é uma página em que um desenvolvedor de ecryptfs explica a diferença entre ecryptfs e dm-crypt: https://stackoverflow.com/questions/18230784/what-is-difference-between-linux-kernel-subsystem-dm-crypt-and -ecryptfs / 18234635 # 18234635 . No entanto, isso me deixou com uma pergunta: se o ecryptfs criptografa apenas a /homepartição, o que impede um hacker malicioso de modificar a partição /ou /bootpara talvez cheirar a senha de criptografia ou modificar um programa, etc.

Em resumo, como posso ter certeza de que não apenas os dados do meu computador não podem ser lidos por uma pessoa não autorizada, mas também como posso ter certeza de que nada no meu computador é modificado sem que eu saiba?

Além disso, onde isso termina porque, em algum momento, o código de inicialização deve estar descriptografado para que o processador entenda? (A menos que você use algum tipo de descriptografia de hardware) Mas, por definição, qualquer coisa não criptografada pode ser modificada?

(Como um ponto secundário, posso ver uma maneira de determinar a integridade da sequência de inicialização mantendo um hash da parte não criptografada do código de inicialização na parte criptografada e na descriptografia comparando um hash pré-computado com um hash da parte não criptografada do a sequência de inicialização no tempo de execução.No entanto, isso não resolve o problema de ter áreas não criptografadas, apenas uma maneira de saber após o fato se algo foi modificado)

A resposta curta é "muito pouco" impede que um hacker modifique / inicialize - na verdade, apenas o tempo, o acesso físico não detectado e a capacidade de recompilar o initrd com um key logger.

Nada impede que um hacker mal-intencionado modifique um / ecryptfs baseado em / ou / boot se tiver acesso físico ao sistema - mas veja mais tarde - não é disso que se trata.

"/" pode ser protegido usando criptografia de disco completo, como LUKS (mas não, pelo que sei, por criptografia de arquivo) - Como o sistema é inicializado a partir de / boot, o initrd pode solicitar a senha necessária para desbloquear o volume antes da montagem /

Acho que você está superestimando a capacidade da criptografia completa de disco - afirmo que ela foi projetada para impedir a proteção de pessoas contra ameaças não persistentes, como um laptop sendo roubado ou quando você deseja RMA um disco rígido com informações pessoais - em Nos dois casos, os dados não têm mais utilidade para você, mas você deseja impedir que terceiros desconhecidos o acessem - e, muitas vezes, a criptografia baseada em arquivos dos seus documentos é adequada - quem se importa se eles tiverem uma cópia não criptografada do sistema binários - eles são de código aberto de qualquer maneira.

Você não pode proteger seu sistema contra pessoas não autorizadas com acesso local a ele. Portanto, a solução é impedir o acesso físico. Você pode ajudar a garantir que as coisas não sejam modificadas sem o seu conhecimento, somando todos os seus arquivos de sistema e comparando-o com um backup offline - isso não é à prova de falhas, pois você precisa ter um programa de soma de verificação não modificado - e um que torna praticamente impossível recriar hashes de colisão. [Você pode simplificar isso se separar seus sistemas de arquivos e criar alguns deles somente leitura, depois mantenha um único hash para cada partição somente leitura]. Todo esse processo é complicado, no entanto.

Ao usar a criptografia de disco completo "/" Você normalmente não usaria o computador como "raiz", exceto para atualizações etc. - isso fornece um grau razoável de