Nitrokeyストレージからのセキュアブート？

NitroKeyの購入を検討していました。驚いたことに、私はパンフレットに次の文を見つけました。

安全なオペレーティングシステムを常に持ち歩きましょう

Nitrokey StorageからWindowsまたはLinuxを安全に直接起動します。Nitrokey Storageは、「Evil Maid」による監視ソフトウェアのインストールなど、システムを暗号化して操作から保護します。

改ざんを防ぐために、USBスティックに暗号化キーを使用してブートローダー、カーネル、およびinitramfsを保持することに慣れています。ただし、このようなストレージ自体は暗号化されていないため、ブートローダー+カーネルをシステムで読み込むことができません。

しかし、この場合、私はそれがどのように機能するか少し混乱しています。暗号化メカニズムに関して私が見つけたほとんどの情報源は、ホスト上のアプリケーションがストレージ上のファイルを復号化するためにデバイスPINを尋ねるべきだということです。内部ブートローダーロジックが付属していない場合、PINを要求できる状態のシステムをどのように起動しますか？NitroKeyは本当に革命的な新しい方法でシステムを起動しますか？

私はこの主張の副次的な情報源を探してみましたが、役に立ちませんでした：

• Nitrokey FAQ、ブートに関連することは何も言わない
• ファームウェア更新ガイドはに指示し--suppress-bootloader-memます。これにより、ブートローダーがある感覚が得られます。（Googleはおそらくbootという単語に基づいてこのリンクを見つけました）
• インストールガイド、何もありません。
• OSを暗号化されたハードドライブにオフロードするのではなく、スティックから起動することで完全なOSを実行することを想像する人々からのフォーラムスレッド。明確な答えもありません。
• ブートローダーについてはさらに言及していますが、ブートローダーの機能については言及していません。

正確にあなたが探しているかもしれないものではありませんが（そして1年後、あなたは方法を見つけた、またはアイデアをあきらめたかもしれません）、ニトロキーストレージの暗号化されていないパーティションを読み取り専用に設定できるという事実（ハードウェアバックアップ） 「安全な起動プロセス」に関しては十分です。

まだ暗号化されていませんが、Nitrokeyの管理者パスワード（「ユーザー」パスワードでさえも）を提供しない限り、読み取り専用のままになります。とにかく、これらの要素に含まれる機密データはすべて暗号化されること自体が目的ではありません。

パンフレットを見ると、これはほとんど手が届かないようです-もっともらしい拒否を提供する同じ機能がディスクの一部を暗号化せず、通常のUSBキーのようにキーを必要とせずに起動できることを期待しています。（安全な飛び地を提供する追加の機能があり、基盤となるディスクもUSbインターフェイスに対して透過的な方法で暗号化される可能性がありますが、それはこの特定の主張とは無関係です）

重要なのは、彼らが「邪悪なメイド」攻撃を指定したことです。つまり、不在時に誰かが物理的なアクセスでシステムを侵害することを意味します。いつでもキーを携帯できるため、無人PCのブートローダーに追加されたマルウェアをバイパスして、OSが正常に起動することを保証できます。