Me centraré solo en algunos problemas con su enfoque:
- El sistema inseguro escribe el CD y, por lo tanto, puede alterar tanto los datos del CD como el formato del CD, es decir, el sistema de archivos.
- Este CD es luego leído por el sistema seguro (air-gapped) y montado allí. El montaje se realiza dentro del núcleo (es decir, acceso a nivel del sistema) y hubo errores en el pasado en esta área.
- No importa si existe malware que secuestre este proceso. Con su configuración, apunta más al área de defensa contra ataques dirigidos y allí solo cuenta si se puede desarrollar dicho malware. Y creo que esto no debería ser demasiado difícil.
Además, mientras cifra los correos salientes en la máquina con espacio de aire, necesita descifrar los correos entrantes en las máquinas inseguras, porque de lo contrario no podría transformarlos en texto sin formato como desea. Esto significa que la información descifrada y probablemente confidencial está disponible en la máquina insegura. Si, en cambio, transfiere los correos entrantes cifrados a la máquina con espacio de aire, tendrá que lidiar con los archivos adjuntos (posiblemente maliciosos) allí.
Y, aunque las recomendaciones de productos están fuera de tema (pero usted las solicitó):no recomendaría ninguna distribución de Linux de propósito general. Vaya al menos por algo reforzado con Grsecurity o simplemente vaya con OpenBSD. Están más enfocados en la seguridad por diseño y en la seguridad en profundidad que Linux.
Puede usar un módem (https://github.com/romanz/amodem) en lugar de medios de una sola escritura. Es bastante rápido en un cable de audio blindado. También funciona en RF, pero esa no es su necesidad. Solo envíe desde la computadora de la puerta, y solo reciba en la computadora con brechas. Cuando sea necesario, cambia esto.
Evite los formatos de archivo que pueden ser traviesos (la mayoría de los archivos multimedia) y solo use archivos para los que tenga firmas GPG/PGP válidas en la computadora con la brecha. No ejecute un módem como usuario privilegiado, ejecútelo como un usuario creado especialmente para ese programa solamente.
Amodem en sí es manejable para compilar con algunos trucos de endurecimiento (no soy un experto), pero al menos estático, PIE, y agrega algo de grsec/PaX y control de apariencia. Si es realmente serio, colóquelo en un chroot con solo los dispositivos absolutamente necesarios en /dev. En operación símplex, no puede filtrar datos a la computadora emisora.
Hay una gran falla en su sistema:la seguridad física. Su máquina con espacio de aire solo es segura mientras la tenga a la vista. Si ALGUNA VEZ lo dejas solo, alguien puede entrar, instalar lo que quiera y volver a irse sin saberlo. Las máquinas con espacio de aire en las agencias de sopa de letras están bajo vigilancia constante. Lo mejor que podrías hacer es NUNCA dejar que nadie sepa que tenías una computadora sin aire que ya le dijiste a todo el mundo... lo siento amigo, ya se acabó para ti...