我能信任initramfs和vmlinuz图像吗？

Question

我正在我的笔记本电脑上运行一个Arch安装，其分区方案如下：

• /dev/sda1是我的/boot分区，也是我的ESP。
• /dev/sda2是我的LUKS加密根分区。

我使用systemd作为引导加载程序。

当我考虑这个设置的安全性时，我变得疑神疑鬼，因为vmlinuz和initramfs图像可以被修改，因为它们存储在一个未加密的分区上。我担心的是，这些图像可能会被攻击者修改和恶意的图像所取代。除了锁定UEFI和禁止从USB驱动器启动之外，我没有任何想法来防止启动修改过的映像。

我的问题是：

1. 这是一个真正的问题，还是已经有一个安全措施来对付这个问题？
2. 如果没有，在启动时是否可以检测到未经授权的更改(比如签名的映像)？
3. 在使用这种设置时，还有其他安全考虑吗？

编辑：

1. 我的笔记本电脑里有个TPM。我能用它做点什么吗？

Answer 1

我担心的是，这些图像可能会被攻击者修改和恶意的图像所取代。

是的，他们可以。为了防止这种情况，您可以自己从可移动驱动器(在离开计算机时删除该驱动器)启动，或者让固件安全地检查引导二进制文件(就像UEFI安全启动试图做的那样)。

这仍然不会阻止攻击者安装密钥记录器，或修改您系统的固件。使用已签名的引导方法，还需要确保攻击者无法修改计算机接受的签名密钥。

在使用这种设置时，还有其他安全考虑吗？

冷启动攻击是相当糟糕的。当你的笔记本电脑开机时，不要让它被盗。

而且，严格地说，加密本身并不意味着身份验证，而全磁盘加密通常不对数据进行身份验证，因为这需要更改数据大小(添加身份验证标记)。认证的缺乏导致了可伸缩性，其程度取决于加密算法(CTR和CBC模式很差，并且提到了针对基于CBC的磁盘加密的实用攻击)。

因此，如果你有足够的偏执，你可能不应该使用笔记本电脑后，攻击者已经有时间与它在一起。但是，所有这些都取决于您的威胁模型、数据的价值以及您期望攻击者的先进程度。

Answer 2

对物理访问没有防御能力！

你可以做你想做的任何事情，但是即使是完全的磁盘加密也可以通过安装在你的内部USB端口上的硬件密钥记录器来规避(在笔记本电脑上:直接焊接到你的主板上)。

¯\_(ツ)_/