Автоматически разбивать LUKS-раздел при неудачных попытках дешифрования X?

Можно ли настроить загрузчик, который автоматически начинает измельчать файл header.img, а затем сам зашифрованный раздел при неудачных попытках X дешифровать раздел?

Если этого еще не существует – возможно ли создать такое программное обеспечение без большой работы?

Ура,

    Да (для вашего собственного загрузчика / initramfs) и No (для вора, который пытается расшифровать его с Live CD и, таким образом, обходит вашу ловушку). Итак, вопрос в том, какую ситуацию вы пытаетесь освещать здесь …

    С точки зрения безопасности это не очень хорошая идея, так как это не работает, и пароль в любом случае невозможен. Также существует высокий риск запуска, который задерживается.

    При вводе ключевой фразы можно совершать ошибки. Моим любимым является клавиша блокировки колпачков, случайно попадаю его и не замечаю (поскольку пароль не повторяется), и … в вашем случае это идет бум.

    Чтобы реализовать это, вы должны увидеть, есть ли у вашего дистрибутива initramfs система крючков или что-то подобное. Обычный вызов cryptsetup может выглядеть так:

    cryptsetup -T 5 luksOpen /dev/sda1 luksroot 

    Чтобы boobytrap это вы могли бы просто сделать что-то вроде:

     cryptsetup -T 5 luksOpen /dev/sda1 luksroot || boobytrap 

    И boobytrap будет функцией, которая удалит ваши вещи, в то время как вор будет занят. В дополнение к этому вы должны абсолютно проверить код ошибки cryptsetup; поэтому вы не удаляете из-за неправильных параметров или чего-либо подобного. Проверьте раздел RETURN CODES на странице руководства.

    Псевдокод: (непроверенный и не рекомендуется)

     boobytrap() { if [ $? -eq 2 ] then # kill the disk silently in the background... dd bs=1M if=/dev/zero of=/dev/sda1 seek=2 2> /dev/null & # ...while keeping the thief busy entering more passwords cryptsetup -T 9999 luksOpen /dev/sda1 luksroot \ && echo Congrats, but I already deleted your data... fi } 

    Надеюсь, у вас хорошая резервная копия.

    Быстрый взгляд на мою систему «wheezy» Debian предполагает, что было бы вполне возможно вставить такой boobytrap в функцию do_luks , расположенную в библиотеке сценариев оболочки /lib/cryptsetup/cryptdisks.functions , которая вызывается из /etc/init.d/cryptdisks-early .

    После изменения кода необходимо будет запустить update-initramfs чтобы убедиться, что исходный образ загрузочного диска также был обновлен.

    Моя система «jessie» Debian также имеет эти файлы, но я не подтвердил, действительно ли они используются в этом смелом новом мире systemd .