Могу ли я доверять изображениям initramfs и vmlinuz?

Я запускаю установку Arch Linux на моем ноутбуке со следующей схемой разделов:

  • /dev/sda1 – мой /boot раздел, который также является моим ESP
  • /dev/sda2 – мой зашифрованный корневой раздел LUKS

Я использую systemd-boot в качестве моего загрузчика.

Когда я думал о безопасности этой установки, я стал параноиком, потому что образы vmlinuz и initramfs могли быть изменены, так как они хранятся в незашифрованном разделе. Меня беспокоит, что изображения могут быть заменены измененными и вредоносными изображениями от злоумышленника. Кроме блокировки UEFI и запрета загрузки с USB-накопителей, у меня нет идеи предотвратить загрузку измененных образов.

Мои вопросы:

  1. Это реальная проблема или уже есть меры безопасности против этого?
  2. Если нет, могу ли я что-то сделать, чтобы обнаружить несанкционированные изменения при загрузке (что-то вроде подписанных изображений)?
  3. Существуют ли другие соображения безопасности при использовании такого рода настройки?

РЕДАКТИРОВАТЬ:

  1. У меня в ноутбуке есть TPM. Что я могу с этим сделать?

Меня беспокоит, что изображения могут быть заменены измененными и вредоносными изображениями от злоумышленника.

Да, они могли. Чтобы предотвратить это, вы можете самостоятельно загрузиться со съемного диска (который вы удаляете, когда вы покидаете компьютер), или сделать так, чтобы прошивка надежно проверила загрузочные файлы (как это делает UEFI Secure Boot ).

Это все равно не помешает злоумышленнику установить кейлоггер или изменить прошивку вашей системы. При подходе с подписанной загрузкой вы также должны быть уверены, что злоумышленник не сможет изменить ключи подписи, которые принимает компьютер.

Существуют ли другие соображения безопасности при использовании такого рода настройки?

Атаки с холодной загрузкой довольно плохие. Не позволяйте вашему ноутбуку быть украденным, когда он включен.

Кроме того, строго говоря, шифрование само по себе не означает аутентификацию, а полное дисковое шифрование обычно не аутентифицирует данные, поскольку для этого потребуется resize данных (добавление тегов аутентификации). Отсутствие аутентификации приводит к гибкости, степень которой зависит от алгоритма шифрования (режимы CTR и CBC плохие, и есть упоминания о практических атаках на шифрование диска на основе CBC ).

Так что, если вы достаточно параноидальны, вам, вероятно, не следует использовать ноутбук после того, как злоумышленник проведет с ним время. Но все это зависит от вашей модели угроз, ценности ваших данных и того, насколько вы ожидаете, что ваши злоумышленники будут такими.

Там нет защиты от физического доступа!

Вы можете делать все, что захотите, но даже полное шифрование диска можно обойти с помощью аппаратного регистратора ключей, установленного на одном из ваших внутренних USB-портов (на ноутбуке: припаян прямо на материнскую плату)

¯ \ _ (ツ) _ / ¯