Je me concentrerai uniquement sur certains problèmes liés à votre approche :
- Le système non sécurisé écrit le CD et peut donc altérer à la fois les données du CD mais aussi le format du CD, c'est-à-dire le système de fichiers.
- Ce CD est ensuite lu par le système sécurisé (air gap) et y est monté. Le montage est effectué à l'intérieur du noyau (c'est-à-dire l'accès au niveau du système) et il y avait des bogues dans le passé dans ce domaine.
- Peu importe s'il existe un logiciel malveillant qui détourne ce processus. Avec votre configuration, vous visez davantage dans le domaine de la défense contre les attaques ciblées et là, cela ne compte que si de tels logiciels malveillants peuvent être développés. Et je pense que cela ne devrait pas être trop difficile.
De plus, pendant que vous cryptez les e-mails sortants sur la machine isolée, vous devez décrypter les e-mails entrants sur les machines non sécurisées, car sinon vous ne pourriez pas les transformer en texte brut comme vous le souhaitez. Cela signifie que les informations décryptées et probablement sensibles sont disponibles sur la machine non sécurisée. Si vous transférez plutôt les e-mails entrants cryptés vers la machine isolée, vous devrez alors gérer les pièces jointes (éventuellement malveillantes).
Et, bien que les recommandations de produits soient hors sujet (mais vous les avez demandées):je ne recommanderais aucune distribution Linux à usage général. Optez au moins pour quelque chose de renforcé avec Grsecurity ou optez simplement pour OpenBSD. Ils sont plus axés sur la sécurité dès la conception et sur la sécurité en profondeur que ne l'est Linux.
Vous pouvez utiliser amodem ( https://github.com/romanz/amodem ) au lieu d'un support à écriture unique. Il est assez rapide sur câble audio blindé. Fonctionne également sur RF, mais ce n'est pas votre besoin. N'envoyez que depuis l'ordinateur de la porte et ne recevez que sur l'ordinateur espacé. Si nécessaire, changez cela.
Évitez les formats de fichiers qui peuvent être vilains (la plupart des fichiers multimédias) et n'utilisez que des archives pour lesquelles vous avez des signatures GPG/PGP valides sur l'ordinateur troué. N'exécutez pas amodem en tant qu'utilisateur privilégié, exécutez-le en tant qu'utilisateur spécialement créé pour ce programme uniquement.
Amodem lui-même est gérable à compiler avec quelques astuces de durcissement (je ne suis pas un expert), mais au moins statique, PIE, et ajoutez un peu de contrôle grsec/PaX et apparmor. Si c'est vraiment sérieux, déposez-le dans un chroot avec uniquement les périphériques absolument nécessaires dans /dev. En fonctionnement simplex, il ne peut pas renvoyer de données à l'ordinateur expéditeur.
Il y a un défaut majeur dans votre système :la sécurité physique. Votre machine à vide n'est sécurisée que tant que vous l'avez en vue. Si jamais vous le laissez seul, quelqu'un peut entrer par effraction, installer ce qu'il veut et repartir avec vous sans en être plus avisé. Les machines isolées dans les agences de soupe à l'alphabet sont sous surveillance constante. La meilleure chose que vous puissiez faire est de ne JAMAIS laisser savoir à qui que ce soit que vous aviez un ordinateur isolé dont vous avez déjà parlé au monde entier... désolé mon pote c'est déjà fini pour vous...