Làm cách nào để mã hóa Raspberry của tôi?

23

Raspberry là tốt và tốt đẹp và có thể chạy khá nhanh. Nhưng làm cách nào tôi có thể bảo vệ thẻ SD của mình khỏi các cuộc tấn công dữ liệu ngoại tuyến. SSH có thể được bảo vệ bằng mật khẩu tốt hoặc khóa SSH nhưng nếu ai đó nắm giữ thẻ tôi muốn mã hóa phần lớn.

Ví dụ: tất cả các tệp php nguồn của tôi hoặc bất kỳ mã nguồn nào khác được lưu trữ trên thẻ SD và có thể dễ dàng gắn vào hệ thống linux khác. Nhưng tôi muốn ngăn chặn điều này bằng cách mã hóa toàn bộ thẻ SD bằng cách nào đó.

Bất kỳ đề xuất?

boot  security 
WillyWonka
nguồn
1
Bạn đang sử dụng hệ điều hành nào hoặc bạn muốn có câu trả lời cho mỗi hệ điều hành để giúp bạn quyết định giữa chúng?
Đánh dấu gian hàng
2
Hướng dẫn đề xuất sử dụng AES- Có thể thay đổi mặc định ngay bây giờ nhưng không sử dụng AES- Nó rất dễ bị bẻ khóa.
Piotr Kula
1
Bạn cần phải để lại / boot giải mã và nhập mật khẩu để gắn hệ thống tập tin gốc mà tôi nghi ngờ.
Alex Chamberlain
1
LOL - Rất nhiều cho DRM hahaha :-) Tôi nghĩ rằng sẽ cần một số hệ thống phức tạp hơn để tạo khóa sử dụng một lần từ một sercive internet? Điều đó có nghĩa là bạn cần khởi động kernel - tạo tập lệnh getter chính và có thể gắn kết một phân vùng được mã hóa dựa trên điều đó bằng cách nào đó. Bạn biết như WoW DRM- Không net, không chơi.
Piotr Kula
1
Sau đó, bạn có thể chỉ cần netboot nó. Trừ khi họ đánh cắp máy chủ khởi động của bạn, họ sẽ không thể tấn công ngoại tuyến :)
XtL

Câu trả lời:

10

Bạn có thể mã hóa toàn bộ đĩa, pv hoặc ổ đĩa bằng LUKS / dm-crypt nếu bản phân phối của bạn hỗ trợ nó. Cũng có thể mã hóa các tệp hoặc thư mục trên đĩa trong khi để hệ thống tệp có thể gắn kết (nhưng bị xáo trộn).

Dù bằng cách nào, bạn sẽ gặp phải một vấn đề: Trước khi sử dụng dữ liệu rõ ràng, ai đó phải nhập khóa. Nếu khóa được lưu trên thẻ, không có gì ngăn kẻ tấn công đọc khóa từ thẻ bị đánh cắp. Nếu đó là đầu vào của một người, người đó cần nhập thủ công khóa sau mỗi lần khởi động.

XtL
nguồn
2
Họ có thể giải mã dữ liệu bằng khóa trong chế độ ngoại tuyến không? (Tôi nghi ngờ câu trả lời là có) Có cách nào để khóa Kernel vào địa chỉ MAC, CPUID hoặc một số thứ cụ thể nào đó không?
WillyWonka
1
Thông thường, có. Không thành vấn đề nếu chương trình của bạn giải mã hoặc của họ nếu họ có khóa. Bạn có thể sử dụng id CT để tạo khóa. Điều đó sẽ không hữu ích nếu kẻ tấn công có quyền truy cập vào toàn bộ bảng nhưng có thể cứu bạn nếu ai đó vừa lấy hoặc nhân bản thẻ.
XtL
Phải tôi không lo lắng về việc họ khởi động nó. Họ vẫn không thể có quyền truy cập Shell (trừ khi có Linux hoạt động để lấy root ???) Hầu hết mọi người sẽ thử lấy thẻ SD và lấy các tệp nguồn để xem tất cả những điều bí mật trên máy tính khác hoặc thứ gì đó :)
WillyWonka
2
Nếu có sẵn quyền truy cập vật lý, mọi người đều có thể dễ dàng truy cập shell. Bạn có thể tìm kiếm single-user mode. Đây là một ví dụ cho Pi. Phân vùng khởi động không được mã hóa!
macrojames
6

làm thế nào về điều này để bắt đầu

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Sẽ có thêm một chút cho nó nhưng đó là phần chính - nó sẽ chỉ bao gồm thư mục nhà của bạn. Nếu bạn muốn làm nhiều hơn thì nó giống như:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

David Lee
nguồn
4
Liên kết có vẻ bị cắt ngắn và / hoặc chết.
XtL
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.