#argon2id

Про #GRUB можно позабыть уже несколько лет как — явно находится под чьим-то влиянием и до сих пор отказывается реализовать поддержку #LUKS 2-й версии, в части использования #Argon2 / #Argon2id.

Важно это потому, что в мире полно ферм для майнинга криптовалют, так или иначе арестованных органами общественного правопорядка. Это изначально специализированные #ASIC для перебора значений hash-функций. В результате, стало возможным взламывать грубой силой почти все варианты дискового шифрования, если для хранения пароля используются обычные #PBKDF2 / #PBKDF, не адаптированные под противодействие крипто-майнинговым фермам. Примером, нормальной современной #PBKDF является тот же #Argon2 и его вариации.

Альтернатива в том, что позволяет тот же #systemd-boot. Например, для полнодискового шифрование через LUKS берётся SSD/NVMe разбитый через #GPT с выделением раздела EFI System Partition, на котором размещаются образы #initrd / #initramfs и бинарники загрузчика systemd-boot являющиеся EFI-приложением.

Всё содержимое EFI System Partition может проверяться Secure Boot'ом — быть заверены своим собственным сертификатом в дереве. Не только бинарники, но и текстовые *.conf файлы в /boot/loader/entries/ описывающие каждый вариант загрузки. Поскольку они содержат такие вещи как:

title    ... — как зовётся в меню загрузочном
linux    /vmlinuz-6.6-x86_64 — какое ядро ОС использовать
initrd    /intel-ucode.img — какой микрокод процессора грузить
initrd    /initramfs-6.6-x86_64.img — сам загрузочный образ
...
options quiet — могут быть и в одну строчку все сразу
options splash
options rd.udev.log_level=3
options systemd.show_status=auto
options sysrq_always_enabled=1
options intel_iommu=on
options iommu=pt
...

Т.е. файлы *.conf могут содержать всякие опции/параметры ядра, отвечающие за безопасность работы системы. Например, раздачей таких рекомендаций недавно развлекался #ФСТЭК (вот оригинал официальной публикации).

#linux #crypto #lang_ru

Пока #KDE создаёт свой дистрибутив #linux, что делают гаврики из #GNOME ? Прожигают подушку безопасности верстая бюджет с дефицитом! :)
И отказываются всего лишь от таких вещей как пара директоров и затраты на транспортировку представителей своего сообщества, управляющего совета и персонала GNOME Foundation на всякие мероприятия. Однако, оставляют расходы на программы оплачиваемых стажировок Outreachy ориентированной на такие социальные группы, которые оказывается слабо представлены в сфере разработки open source (free'шного ПО).

А в #KDE просто задолбались с тем, что присутствуют в подавляющем числе дистрибутивов #linux лишь в сильно пропатченом и потому кривом виде (из-за убогости ментейнеров этих дистрибов).
Потому KDE и решили делать свой дистриб, на базе #ArchLinux, в котором #KDE давным давно присутствует прямо в нативном, неизменённом виде.
Причём в KDE весьма разумно подходят к вопросу:

обновления системы на базе снапшотов #btrfs
с полнодисковым шифрованием диска через #LUKS
загрузкой через #systemd-boot (поскольку #GRUB плохо поддерживает LUKS)

У самого несколько лет именно так и есть — обновления с автоматическими через #TimeShift снапшотами файловой системы (средствами btrfs) при накатывании обновлений или установке софта.

Полнодисковое шифрование LUKS, возможности которого нормально поддерживает лишь #systemd-boot, т.е. когда SSD/NVMe разбит через #GPT и есть раздел EFI System Partition, на котором образы #initrd / #initramfs и бинарники загрузчика могут проверяться Secure Boot'ом.

А про GRUB можно позабыть уже очень давно, т.к. явно находится под чьим-то влиянием и до сих пор отказывается реализовать поддержку #LUKS 2-й версии, в части использования #Argon2 / #Argon2id.

Важно это потому, что в мире полно ферм для майнинга криптовалют, так или иначе арестованных органами общественного правопорядка. Это изначально специализированные #ASIC для перебора значений hash-функций. В результате, стало возможным взламывать грубой силой почти все варианты дискового шифрования, если для хранения пароля используются обычные #PBKDF2 / #PBKDF, не адаптированные под противодействие крипто-майнинговым фермам. Примером, нормальной современной #PBKDF является тот же #Argon2 и его вариации.

Т.е. пока #GNOME прожирает средства на всякую откровенную херню, в то же самое время #KDE заняты весьма годными делами. И лепят вполне современный дистрибутив, закладывая в него более чем разумные практики и вообще, и в том числе, ещё и с дистрибьюцией софта через #flatpak.

#crypto #lang_ru