Wie verschlüssele ich meine Himbeere?

23

Die Himbeere ist alles gut und schön und kann ziemlich schnell laufen. Aber wie kann ich meine SD-Karte vor Offlinedatenangriffen schützen? SSH kann mit einem guten Passwort oder einem SSH-Schlüssel geschützt werden, aber wenn jemand die Karte in den Händen hält, möchte ich, dass sie größtenteils verschlüsselt wird.

Zum Beispiel sind alle meine Quell-PHP-Dateien oder jeder andere Quellcode auf der SD-Karte gespeichert und können problemlos in ein anderes Linux-System eingehängt werden. Aber ich möchte dies verhindern, indem ich die gesamte SD-Karte irgendwie verschlüssele.

Irgendwelche Vorschläge?

boot security WillyWonka
quelle
1
Welches Betriebssystem verwenden Sie oder möchten Sie eine Antwort für jedes Betriebssystem, damit Sie sich besser entscheiden können?
Mark Booth
2
In der Anleitung wird die Verwendung von AES empfohlen. Möglicherweise wird die Standardeinstellung jetzt geändert, AES wird jedoch nicht verwendet. Es kann leicht Risse verursachen.
Piotr Kula
1
Sie müssen entschlüsselt / booten und ein Passwort eingeben, um das Root-Dateisystem zu mounten, das ich vermute.
Alex Chamberlain
1
LOL - Soviel zu DRM hahaha :-) Ich denke, es wird ein komplexeres System erforderlich sein, um möglicherweise Einmalschlüssel aus einem Internet-Dienst zu erstellen? Das bedeutet jedoch, dass Sie den Kernel booten müssen - erstellen Sie ein Schlüssel-Getter-Skript und hängen Sie möglicherweise eine verschlüsselte Partition darauf basierend an. Sie wissen wie WoW DRM - kein Netz, kein Spiel.
Piotr Kula
1
Dann könntest du es einfach netbooten. Sie können nicht offline angreifen, es sei denn, sie stehlen Ihren
Bootserver

Antworten:

10

Sie können die gesamte Festplatte, das gesamte pv oder das gesamte Volume mit LUKS / dm-crypt verschlüsseln, wenn Ihre Distribution dies unterstützt. Es ist auch möglich, Dateien oder Verzeichnisse auf der Festplatte zu verschlüsseln, während das Dateisystem einbindbar (aber verschlüsselt) bleibt.

In beiden Fällen tritt ein Problem auf: Bevor Sie die klaren Daten verwenden können, muss jemand den Schlüssel eingeben. Wenn der Schlüssel auf der Karte gespeichert ist, hindert nichts einen Angreifer daran, den Schlüssel von einer gestohlenen Karte zu lesen. Wenn es von einer Person eingegeben wird, muss diese Person den Schlüssel nach jedem Start manuell eingeben.

XTL
quelle
2
Können sie Daten mit dem Schlüssel im Offline-Modus entschlüsseln? (Ich vermute, die Antwort lautet Ja.) Gibt es eine Möglichkeit, einen Kernel an eine MAC-Adresse, eine CPU-ID oder etwas HW-spezifisches zu sperren?
WillyWonka
1
Normalerweise ja. Es spielt keine Rolle, ob das Programm entschlüsselt wird oder ob sie den Schlüssel haben. Möglicherweise können Sie eine HW-ID verwenden, um den Schlüssel zu generieren. Das hilft nicht, wenn der Angreifer Zugriff auf das gesamte Board hat, kann Sie aber retten, wenn jemand die Karte einfach genommen oder geklont hat.
XTL
Ja, ich mache mir keine Sorgen, dass sie es booten. Sie können immer noch nicht Shell - Zugang (es sei denn , es eine Linux ist Arbeit um root zu bekommen ???) Die meisten likley sie werden versuchen , und die SD - Karte nehmen und die Quelldateien erhalten alle die geheimen Dinge auf einem anderen Computer , um zu sehen oder etwas :)
WillyWonka
2
Wenn physischer Zugriff verfügbar ist, kann jeder problemlos auf die Shell zugreifen. Sie könnten suchen single-user mode. Hier ist ein Beispiel für den Pi. Die Bootpartition ist nicht verschlüsselt!
Macrojames
6

Wie wäre es damit für den Anfang

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Es wird ein bisschen mehr geben, aber das ist der Hauptteil - es wird nur Ihren privaten Ordner abdecken. Wenn Sie mehr tun möchten, dann ist es so etwas wie:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

David Lee
quelle
4
Der Link sieht abgeschnitten und / oder tot aus.
XTL