Saya hanya akan fokus pada beberapa masalah dengan pendekatan Anda:
- Sistem tidak aman menulis CD dan dengan demikian dapat mengutak-atik data pada CD tetapi juga dengan format CD, yaitu sistem file.
- CD ini kemudian dibaca oleh sistem pengaman (bercelah udara) dan dipasang di sana. Pemasangan dilakukan di dalam kernel (yaitu akses tingkat sistem) dan sebelumnya terdapat bug di area ini.
- Tidak masalah jika ada malware yang membajak proses ini. Dengan pengaturan Anda, Anda lebih membidik area pertahanan terhadap serangan yang ditargetkan dan di sana hanya dihitung jika malware semacam itu dapat dikembangkan. Dan menurut saya ini tidak boleh terlalu sulit.
Selain itu, saat Anda mengenkripsi surat keluar di mesin ber-celah udara, Anda perlu mendekripsi surat masuk di mesin yang tidak aman, karena jika tidak, Anda tidak dapat mengubahnya menjadi teks biasa seperti yang Anda inginkan. Ini berarti bahwa informasi yang didekripsi dan mungkin sensitif tersedia di mesin yang tidak aman. Jika Anda mentransfer email masuk terenkripsi ke mesin dengan celah udara, Anda harus berurusan dengan lampiran (kemungkinan berbahaya) di sana.
Dan, sementara rekomendasi produk di luar topik (tetapi Anda meminta ini):Saya tidak akan merekomendasikan distribusi Linux tujuan umum apa pun. Pergi setidaknya untuk sesuatu yang dikeraskan dengan Grsecurity atau hanya pergi dengan OpenBSD. Mereka lebih fokus pada keamanan berdasarkan desain dan keamanan secara mendalam daripada Linux.
Anda dapat menggunakan modem ( https://github.com/romanz/amodem ) sebagai pengganti media sekali tulis. Ini cukup cepat pada kabel audio berpelindung. Bekerja pada RF juga, tapi itu bukan kebutuhan Anda. Hanya kirim dari komputer gerbang, dan hanya terima di komputer yang memiliki celah. Bila perlu, alihkan ini.
Hindari format file yang bisa nakal (sebagian besar file media), dan hanya gunakan arsip yang memiliki tanda tangan GPG/PGP yang valid di komputer yang memiliki celah. Jangan jalankan modem sebagai pengguna istimewa, jalankan sebagai pengguna yang dibuat khusus untuk program itu saja.
Amodem sendiri dapat diatur untuk dikompilasi dengan beberapa trik pengerasan (saya bukan ahli), tetapi setidaknya statis, PIE, dan menambahkan beberapa kontrol grsec/PaX dan apparmor. Jika benar-benar serius, taruh di chroot hanya dengan perangkat yang benar-benar diperlukan di /dev. Dalam operasi simpleks, itu tidak dapat membocorkan data kembali ke komputer pengirim.
Ada satu kelemahan utama dalam sistem Anda:Keamanan fisik. Mesin dengan celah udara Anda hanya aman selama Anda melihatnya. Jika Anda PERNAH membiarkannya sendiri, seseorang dapat masuk, instal apa pun yang mereka suka dan tinggalkan lagi dengan Anda, tidak ada yang lebih bijak. Mesin dengan celah udara di agen sup alfabet berada di bawah pengawasan konstan. Hal terbaik yang dapat Anda lakukan adalah JANGAN PERNAH memberi tahu siapa pun bahwa Anda memiliki komputer dengan celah udara yang telah Anda beri tahu ke seluruh dunia... maaf sobat, ini sudah berakhir untuk Anda...