Comment chiffrer ma framboise?

La framboise est très bien et peut fonctionner assez rapidement. Mais comment puis-je protéger ma carte SD contre les attaques de données hors ligne. SSH peut être protégé avec un bon mot de passe ou une clé SSH mais si quelqu'un met la main sur la carte, je voudrais qu'elle soit cryptée dans la plupart des cas.

Par exemple, tous mes fichiers php source ou tout autre code source sont stockés sur la carte SD et peuvent être facilement montés dans un autre système Linux. Mais je veux empêcher cela en cryptant la carte SD entière d'une manière ou d'une autre.

Aucune suggestion?

boot security Willy Wonka
la source

Quel système d'exploitation utilisez-vous ou souhaitez-vous une réponse pour chaque système d'exploitation pour vous aider à choisir entre eux?

Mark Booth

Le guide suggère d'utiliser AES- Peut-être que la valeur par défaut est modifiée maintenant, mais n'utilisez pas AES- Il est facilement craqué.

Piotr Kula

Vous devez laisser / boot déchiffré et entrer un mot de passe pour monter le système de fichiers racine que je soupçonne.

Alex Chamberlain

LOL - Voilà pour DRM hahaha :-) Je pense qu'un système plus complexe sera nécessaire pour créer éventuellement des clés à usage unique à partir d'un service Internet? Mais cela signifie que vous devez démarrer le noyau - créer un script de lecture de clé et éventuellement monter une partition chiffrée basée sur cela d'une manière ou d'une autre. Vous savez comme WoW DRM - Pas de filet, pas de jeu.

Piotr Kula

Ensuite, vous pouvez simplement le redémarrer par net. À moins qu'ils ne volent votre serveur de démarrage, ils ne peuvent pas faire d'attaque hors ligne :)

XTL

Réponses:

Vous pouvez crypter l'intégralité du disque, du pv ou du volume à l'aide de LUKS / dm-crypt si votre distribution le prend en charge. Il est également possible de crypter des fichiers ou des répertoires sur le disque tout en laissant le système de fichiers montable (mais brouillé).

Dans tous les cas, vous rencontrerez un problème: avant d'utiliser les données claires, quelqu'un doit saisir la clé. Si la clé est stockée sur la carte, rien n'empêche un attaquant de lire la clé d'une carte volée. S'il est saisi par une personne, cette personne doit saisir manuellement la clé après chaque démarrage.

XTL
la source

Peuvent-ils décrypter les données en utilisant la clé en mode hors ligne? (Je soupçonne que la réponse est oui) Existe-t-il un moyen de verrouiller un noyau sur une adresse MAC, CPUID ou quelque chose de spécifique au matériel?

WillyWonka

Normalement, oui. Peu importe que ce soit votre programme de décryptage ou le leur s'il a la clé. Vous pourrez peut-être utiliser un identifiant matériel pour générer la clé. Cela n'aidera pas si l'attaquant a accès à l'ensemble du plateau mais pourrait vous sauver si quelqu'un vient de prendre ou de cloner la carte.

XTL

Oui, je ne m'inquiète pas qu'ils démarrent. Ils ne peuvent toujours pas avoir accès Shell (sauf si il y a un travail Linux autour pour obtenir racine ???) La plupart likley ils vont essayer de prendre la carte SD et obtenir les fichiers source pour voir toutes les choses secrètes sur un autre ordinateur ou quelque chose :)

WillyWonka

Si un accès physique est disponible, tout le monde peut facilement accéder au shell. Vous pouvez rechercher single-user mode. Voici un exemple pour le Pi. La partition de démarrage n'est pas chiffrée!

macrojames

que diriez-vous pour commencer

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Il y aura un peu plus mais c'est la partie principale - il ne couvrira que votre dossier de départ. Si vous voulez faire plus, c'est quelque chose comme:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

David Lee
la source

Le lien semble tronqué et / ou mort.

XTL