Was Sie suchen - um zu überprüfen, ob das auf dem Computer ausgeführte Betriebssystem eines ist, dem Sie vertrauen - wird als vertrauenswürdiger Start bezeichnet . (Dies ist eines von mehreren Dingen, die manchmal als vertrauenswürdiger Start bezeichnet werden.) Ihre vorgeschlagene Methode erreicht dieses Ziel nicht.
Die Verschlüsselung bietet keine Datenintegrität oder -authentizität . Mit anderen Worten, es hindert einen Angreifer nicht daran, den Inhalt Ihrer Festplatte zu ändern und durch ein bösartiges Betriebssystem zu ersetzen. Dieses schädliche Betriebssystem kann leicht so programmiert werden, dass die Prüfsumme angezeigt wird, die Sie für den geladenen Kernel erwarten.
Der einfachste Angriffspfad ist ein Man-in-the-Middle, bei dem der Angreifer Ihr normales Betriebssystem unter einer Art virtueller Maschine ausführt. Die Schicht der virtuellen Maschine überträgt Ihre Eingaben an Ihr gewünschtes Betriebssystem und überträgt die Ausgaben zurück. Es zeichnet aber auch Ihre Tastenanschläge (mmmm, Passwörter) auf der Seite auf, schnippt private Schlüssel aus dem Speicher des Betriebssystems und so weiter.
Um diese Form des Angriffs zu vermeiden, benötigen Sie eine Vertrauenswurzel : eine Komponente des Systems, der Sie aus einem anderen Grund vertrauen, als weil es eine andere Komponente des Systems sagt. Mit anderen Worten, Sie müssen irgendwo anfangen. Mit Hardware in Ihrem Besitz zu beginnen, ist ein guter Anfang. Sie können Ihr Betriebssystem auf einem USB-Stick halten, der Ihre Sicht nicht verlässt, und diesen nur an Hardware anschließen, auf die Sie ausreichend vertrauen ( Hardware kann Malware enthalten !). Wenn Sie dem Computer vertrauen möchten, können Sie auch seiner Festplatte vertrauen.
Es gibt eine technische Lösung, um die Lücke zwischen dem Vertrauen in einen kleinen Chip und dem Vertrauen in einen ganzen Desktop- oder Laptop-Computer zu schließen. Einige PCs verfügen über ein TPM (Trusted Platform Module) , mit dem unter anderem überprüft werden kann, ob nur ein bekanntes Betriebssystem gestartet werden kann. Trusted Grub unterstützt TPMs. Mit einem TPM plus Trusted Grub können Sie also sicher sein, dass der von Ihnen ausgeführte Kernel von Ihnen genehmigt wurde.
Beachten Sie, dass die Einführung des TPM für oder gegen Sie funktionieren kann. Es hängt alles davon ab, wer die Schlüssel hat. Wenn Sie den privaten Schlüssel für Ihr TPM haben, können Sie genau steuern, was auf Ihrem Computer ausgeführt wird. Wenn nur der Hersteller über den privaten Schlüssel verfügt, können Sie eine Allzweckplattform in eine gesperrte Appliance verwandeln.