ฉันจะเข้ารหัสราสเบอร์รี่ของฉันได้อย่างไร

23

ราสเบอร์รี่นั้นดีและดีและสามารถวิ่งได้อย่างรวดเร็ว แต่ฉันจะป้องกันการ์ด SD ของฉันจากการโจมตีข้อมูลแบบออฟไลน์ได้อย่างไร SSH สามารถป้องกันด้วยรหัสผ่านที่ดีหรือคีย์ SSH แต่ถ้าใครบางคนได้รับบัตรฉันต้องการให้มันเข้ารหัสส่วนใหญ่

ตัวอย่างเช่นไฟล์ php ของฉันทั้งหมดหรือซอร์สโค้ดอื่น ๆ จะถูกเก็บไว้ในการ์ด SD และสามารถติดตั้งเข้ากับระบบลินุกซ์อื่นได้อย่างง่ายดาย แต่ฉันต้องการป้องกันสิ่งนี้โดยการเข้ารหัสการ์ด SD ทั้งหมดอย่างใด

ข้อเสนอแนะใด ๆ

boot  security 
WillyWonka
แหล่งที่มา
1
คุณใช้ระบบปฏิบัติการใดอยู่หรือคุณต้องการคำตอบสำหรับแต่ละระบบปฏิบัติการเพื่อช่วยคุณตัดสินใจระหว่างระบบปฏิบัติการเหล่านี้
Mark Booth
2
คู่มือแนะนำให้ใช้ AES- อาจเป็นไปได้ว่าค่าเริ่มต้นจะเปลี่ยนไปแล้ว แต่อย่าใช้ AES- มันจะแตกได้ง่าย
Piotr Kula
1
คุณต้องออกจาก / boot ถอดรหัสแล้วใส่รหัสผ่านเพื่อติดตั้งระบบไฟล์รูทที่ฉันสงสัย
อเล็กซ์แชมเบอร์เลน
1
ฮ่า ๆ - มากสำหรับ DRM ฮ่าฮ่าฮ่า :-) ฉันคิดว่าต้องใช้ระบบที่ซับซ้อนกว่านี้เพื่อสร้างคีย์การใช้งานครั้งเดียวจากอินเทอร์เน็ตแบบ Sercive แต่นั่นหมายความว่าคุณจำเป็นต้องบูตเคอร์เนล - สร้างสคริปต์ getter key และอาจติดตั้งพาร์ติชั่นที่เข้ารหัสไว้แล้วแต่อย่างใด คุณรู้ไหมว่า WoW DRM- ไม่มีเน็ตไม่มีการเล่น
Piotr Kula
1
จากนั้นคุณสามารถ netboot ได้ จนกว่าพวกเขาจะขโมย bootserver ของพวกเขาไม่สามารถทำแบบออฟไลน์โจมตี :)
XTL

คำตอบ:

10

คุณสามารถเข้ารหัสทั้งดิสก์ pv หรือโวลุ่มโดยใช้LUKS / dm-cryptหากการแจกจ่ายของคุณรองรับ นอกจากนี้ยังเป็นไปได้ที่จะเข้ารหัสไฟล์หรือไดเรกทอรีบนดิสก์ในขณะที่ปล่อยให้ระบบไฟล์ติดตั้งได้ (แต่สัญญาณรบกวน)

ไม่ว่าจะด้วยวิธีใดคุณจะพบปัญหา: ก่อนใช้ข้อมูลที่ชัดเจนใครบางคนต้องป้อนรหัส หากคีย์ถูกเก็บไว้ในการ์ดไม่มีสิ่งใดป้องกันผู้โจมตีที่อ่านคีย์จากการ์ดที่ถูกขโมย หากมีการป้อนข้อมูลโดยบุคคลนั้นบุคคลนั้นจะต้องป้อนรหัสด้วยตนเองหลังการบู๊ตทุกครั้ง

XTL
แหล่งที่มา
2
พวกเขาสามารถถอดรหัสข้อมูลโดยใช้กุญแจในโหมดออฟไลน์ได้หรือไม่ (ฉันสงสัยว่าคำตอบคือใช่) มีวิธีใดบ้างที่จะล็อคเคอร์เนลไปยังที่อยู่ MAC, CPUID หรือบางอย่างที่เฉพาะเจาะจง HW?
WillyWonka
1
ตามปกติใช่ มันไม่สำคัญว่าจะเป็นโปรแกรมของคุณถอดรหัสหรือพวกเขาหากพวกเขามีกุญแจ คุณอาจใช้รหัส HW เพื่อสร้างคีย์ นั่นจะไม่ช่วยได้ถ้าผู้โจมตีสามารถเข้าใช้งานบอร์ดทั้งหมดได้ แต่อาจช่วยคุณได้ถ้ามีคนเอาหรือโคลนการ์ด
XTL
ใช่ฉันไม่กังวลเกี่ยวกับพวกเขาบูตมัน พวกเขายังไม่สามารถเข้าถึง Shell (ยกเว้นว่ามี Linux ทำงานรอบ ๆ เพื่อรับรูท ???) likley ส่วนใหญ่พวกเขาจะลองและนำการ์ด SD และรับไฟล์ต้นฉบับเพื่อดูสิ่งลับทั้งหมดในคอมพิวเตอร์เครื่องอื่นหรือบางสิ่ง :)
WillyWonka
2
ถ้ามีการเข้าถึงแบบฟิสิคัลทุกคนสามารถเข้าถึงเชลล์ได้โดยง่าย single-user modeคุณสามารถค้นหา นี่คือตัวอย่างสำหรับ Pi พาร์ติชันสำหรับบูตไม่ได้เข้ารหัส!
macrojames
6

วิธีการเกี่ยวกับเรื่องนี้สำหรับการเริ่มต้น

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

จะมีอีกเล็กน้อย แต่ส่วนหลัก - มันจะครอบคลุมเฉพาะโฟลเดอร์บ้านของคุณ หากคุณต้องการทำมากขึ้นสิ่งที่ต้องการ:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

เดวิดลี
แหล่งที่มา
4
ลิงก์ดูที่ถูกตัดทอนและ / หรือตาย
XTL
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.