Bagaimana cara mengenkripsi Raspberry saya?

Raspberry semuanya baik dan bagus dan dapat berjalan cukup cepat. Tetapi bagaimana saya bisa melindungi kartu SD saya dari serangan data offline. SSH dapat dilindungi dengan kata sandi yang baik atau kunci SSH tetapi jika seseorang memegang kartu saya ingin sebagian besar dienkripsi.

Sebagai contoh semua file php sumber saya atau kode sumber lain disimpan pada kartu SD dan dapat dengan mudah dipasang ke sistem linux lain. Tetapi saya ingin mencegah hal ini dengan cara enkripsi seluruh kartu SD.

Ada saran?

boot security

— WillyWonka
sumber

OS mana yang Anda gunakan, atau Anda ingin jawaban untuk setiap OS untuk membantu Anda memutuskan di antara mereka?

— Mark Booth

Panduan ini menyarankan untuk menggunakan AES- Mungkin standarnya diubah sekarang tetapi jangan gunakan AES- Mudah retak.

— Piotr Kula

Anda harus meninggalkan / mem-boot dekripsi dan memasukkan kata sandi untuk memasang sistem file root yang saya curigai.

— Alex Chamberlain

LOL - Begitu banyak untuk DRM hahaha :-) Saya pikir beberapa sistem yang lebih kompleks akan diperlukan untuk membuat kunci penggunaan satu kali dari sercive internet mungkin? Tapi itu berarti Anda perlu mem-boot kernel-membuat skrip pengambil kunci dan mungkin me-mount partisi terenkripsi berdasarkan itu entah bagaimana. Anda tahu seperti WoW DRM- Tidak ada jaring, tidak ada permainan.

— Piotr Kula

Maka Anda bisa netboot saja. Kecuali mereka mencuri bootserver Anda, mereka tidak dapat melakukan serangan offline :)

— XTL

Jawaban:

Anda dapat mengenkripsi seluruh disk, pv, atau volume menggunakan LUKS / dm-crypt jika distribusi Anda mendukungnya. Juga memungkinkan untuk mengenkripsi file atau direktori pada disk sambil membiarkan filesystem mountable (tetapi diacak).

Apa pun itu, Anda akan mengalami masalah: Sebelum menggunakan data yang jelas, seseorang harus memasukkan kunci. Jika kunci disimpan di kartu, tidak ada yang mencegah penyerang membaca kunci dari kartu curian. Jika diinput oleh seseorang, orang itu perlu memasukkan kunci secara manual setelah setiap boot.

— XTL
sumber

Bisakah mereka mendekripsi data menggunakan kunci dalam mode offline? (Saya menduga jawabannya adalah ya). Apakah ada cara untuk mengunci Kernel ke alamat MAC, CPUID atau sesuatu yang khusus HW?

— WillyWonka

Biasanya ya. Tidak masalah apakah itu program Anda mendekripsi atau mereka jika mereka memiliki kuncinya. Anda mungkin dapat menggunakan id HW untuk menghasilkan kunci. Itu tidak akan membantu jika penyerang memiliki akses ke seluruh papan tetapi mungkin menyelamatkan Anda jika seseorang hanya mengambil atau mengkloning kartu.

— XTL

Ya saya tidak khawatir mereka mem-boot-nya. Mereka masih tidak bisa mendapatkan akses Shell (kecuali ada Linux yang bekerja untuk mendapatkan root ???) Kebanyakan likley mereka akan mencoba dan mengambil kartu SD dan mendapatkan file sumber untuk melihat semua hal rahasia di komputer lain atau sesuatu :)

— WillyWonka

Jika akses fisik tersedia, semua orang dapat dengan mudah mendapatkan akses shell. Anda bisa mencari single-user mode. Berikut ini adalah contoh untuk Pi. Partisi boot tidak dienkripsi!

— macrojames

bagaimana dengan ini sebagai permulaan

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Akan ada sedikit lebih untuk itu tetapi itulah bagian utama - itu hanya akan menutupi folder rumah Anda. Jika Anda ingin melakukan lebih dari itu sesuatu seperti:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

— David Lee
sumber

Tautan terlihat terpotong dan / atau mati.

— XTL