在从initramfs运行时使用命令(dd =/dev/mmcblk0p1\ sha1sum)

Question

我在下面的链接中看到了一个开放源码的raspberry pi项目: www.privatekeyvault.com

我提供了一种安装LUKS全磁盘加密的方法，如下所示：https://github.com/johnshearing/PrivateKeyVault#setup-luks-full-disk-encryption

我试图在中间攻击中减少一名少女的攻击，解释如下：https://github.com/johnshearing/PrivateKeyVault#preventing-the-evil-maid-or-maid-in-the-middle-attack

需要注意的是，有人可能会在引导分区上安装恶意程序密钥记录器，并在仍然运行initramfs时登录到加密分区时收集密码。

一旦登录到我的加密分区，我就可以运行以下命令来查看引导分区的sha1sum : dd =/dev/mmcblk0p1\x sha1sum

我将此与先前记录的sha1sum进行比较，以查看引导分区是否已更改。它不应该改变。

我希望在登录到加密分区之前获得引导分区的sha1sum。换句话说，在提供密码之前。这是在我还在使用initramfs的时候。我理解这是愚蠢的，因为任何安装密钥记录器的人也可以安装一个错误的sha1sum程序，所以最好是在登录到加密分区之后运行sha1sum命令，在加密的分区中不可能更改sha1sum程序。不过，我还是很好奇是否可以这样做。

困难在于，当运行命令(df)时，/dev/mmcblk0p1将不会显示，因此我的命令(dd =/dev/mmcblk0p1\ sha1sum)将无法工作。

有什么想法吗?在initramfs中如何引用引导分区？

另外，在登录到加密分区之前，还有其他关于如何检查是否有人篡改了引导分区的其他想法吗？

谢谢你的帮助。

Answer 1

你所描述的技术将无法减轻女佣的邪恶攻击。正如您所说，恶意引导加载程序可以只替换您使用的任何哈希检查代码。与其试图对其进行散列，不如考虑TPM-based 测量引导。有几种可用的技术：

• AEM --也许是最好的技术，也是最容易使用的，来自Qubes。
• 正面 -为Coreboot有效载荷优化的一种新技术，用于验证BIOS和引导加载程序。
• 标记 -适用于x86系统，但可能会被修改为为Raspberry工作的努力。

Answer 2

从可能受到危害的系统内部进行验证是毫无意义的。如果initramfs中缺少一个程序，您可以通过initramfs钩子脚本手动添加它。但是，只要运行sha1sum /dev/mmcblk0p1就可以做到这一点，并且可以开箱即用。您可以通过运行blkid获得分区的列表。然而，由于raspberrys通常从SD卡引导，最好的解决方案是始终随身携带它。或验证另一个系统上的校验和。