暗号化やセキュアブートが何を防ぐのか
以下の機能が何を防ぐためにあるのかまとめた。
| 脅威と対策 | ディスク暗号化 | /boot暗号化 | セキュアブート | 独立TPM | 内蔵TPM |
|---|---|---|---|---|---|
| ディスク盗難 | ○ | ||||
| コールドブート攻撃 | ○? | ||||
| ファームウェア改竄 | |||||
| ブートローダー改竄 | ○ | ○ | ○ | ||
| カーネル改竄 | ○ | ○ | ○ | ||
| 弱いパスフレーズ | ○ | ○ |
物理的に盗難された場合、
- ディスクを直接読まれることは暗号化で対策する
- ブートオーダーを変更した場合?
カーネルやファームウェアを書き換えられた場合、
- セキュアブートによって未署名となるので気付ける
- TPMを利用する場合でもPCR7レジスタのハッシュが変わるので気付ける
TPMはそれ単体で安全になるものではなくTPMはXTXやセキュアブートと組み合わせてはじめて意味があるという話もある。