Und wie?
Es geht mir darum das auf der Festplatte kein, und ich meine wirklich garkein, unverschlüsselter Bereich mehr vorhanden ist, damit jemand der Physikalischen Zugriff auf den Rechner hat in dieses System keine unerwünschten Programme installieren kann.
Das ist aber nur möglich wenn alles komplett (sicher) verschlüsselt ist.
Aber wenn alles, auch der Boot-Sektor verschlüsselt ist, ist es unmöglich von diesem Gerät zu booten, da kein unverschlüsselter Mechanismus mehr da ist der entschlüsseln könnte.
Der Einzige Ort an dem ich einen Mechanismus (sprich, ein System mit dm-crypt) sicher unterbringen könnte, wäre ein USB-Stick, den ich immer bei mir habe, von dem ich also sicher weiss das keiner irgendwas damit gemacht hat.
Das ganze wäre allerdings Sinnlos, wenn der Rechner laufen soll, während ich weg bin, und der USB-Stick die ganze Zeit drin stecken muss, weil er die ursprüngliche Root-Partition beherbergt.
Und wenn man diese entfernt, entzieht man dem gesamten Dateisystem den Untergrund und stürzt unweigerlich ab. (Oder hat zumindest keinen Dateizugriff mehr.)
Daher meine Frage, ob es möglich ist, von einem USB-Stick zu booten, und diesen nach dem boot zu entfernen, ohne das (von HD) laufende System zu beeinträchtigen.
Der Artikel in dem Link gibt mir darauf keine befriedigende Antwort, denn für dieses Verfahren muss ZWINGEND ein Teil auf der Festplatte unverschlüsselt bleiben, welches den Key von USB liesst und den Rest entschlüsselt, und genau dieser Bereich wäre eine Schwachstelle, in welchem sich ein Schädling unterbringen lässt. Welcher später den Key einfach aus dem Speicher lesen könnte.
Und genau das will ich verhindern, indem ich sämtliche festen Speicher im System verschlüssele, und zwar komplett.
In diesem Sinne... Schönen Abend.
