Come crittografare il mio Raspberry?

Il Raspberry è tutto a posto e può funzionare abbastanza velocemente. Ma come posso proteggere la mia scheda SD dagli attacchi di dati offline. SSH può essere protetto con una buona password o una chiave SSH ma se qualcuno prende in mano la carta, vorrei che fosse crittografata nella maggior parte dei casi.

Ad esempio tutti i miei file php di origine o qualsiasi altro codice sorgente sono memorizzati sulla scheda SD e possono essere facilmente montati su un altro sistema Linux. Ma voglio impedirlo in qualche modo crittografando l'intera scheda SD.

Eventuali suggerimenti?

boot security

— Willy Wonka
fonte

Quale sistema operativo stai utilizzando o desideri una risposta per ciascun sistema operativo che ti aiuti a decidere tra di loro?

— Mark Booth,

La guida suggerisce di usare AES- Forse il valore predefinito è cambiato ora ma non usare AES- È facilmente crackabile.

— Piotr Kula,

Devi sospendere / avviare la decodifica e inserire una password per montare il filesystem di root che sospetto.

— Alex Chamberlain,

LOL - Tanto per DRM hahaha :-) Penso che sarà necessario un sistema più complesso per creare una volta le chiavi di un internet sercive? Ciò significa che è necessario avviare il kernel, creare uno script getter chiave e possibilmente montare una partizione crittografata basata su quello in qualche modo. Sai come WoW DRM: niente rete, niente gioco.

— Piotr Kula,

Quindi potresti semplicemente avviarlo. A meno che non rubino il tuo server di avvio, non possono eseguire attacchi offline :)

— XTL

Risposte:

È possibile crittografare l'intero disco, pv o volume utilizzando LUKS / dm-crypt se la distribuzione lo supporta. È anche possibile crittografare file o directory sul disco lasciando montabile il file system (ma criptato).

Ad ogni modo, incontrerai un problema: prima di utilizzare i dati chiari, qualcuno deve inserire la chiave. Se la chiave è memorizzata sulla carta, nulla impedisce a un attaccante di leggere la chiave da una carta rubata. Se è inserito da una persona, quella persona deve inserire manualmente la chiave dopo ogni avvio.

— XTL
fonte

Possono decodificare i dati usando la chiave in modalità offline? (Sospetto che la risposta sia sì) Esiste un modo per bloccare un kernel su un indirizzo MAC, CPUID o qualcosa di specifico HW?

— WillyWonka,

Normalmente si. Non importa se si tratta della decodifica del programma o della loro se hanno la chiave. Potrebbe essere possibile utilizzare un ID HW per generare la chiave. Ciò non aiuta se l'attaccante ha accesso all'intera scheda ma potrebbe salvarti se qualcuno ha appena preso o clonato la carta.

— XTL,

Sì, non sono preoccupato per il loro avvio. Non riescono ancora a ottenere l'accesso Shell (a meno che non ci sia un Linux in giro per ottenere root ???) Molto probabilmente proveranno a prendere la scheda SD e ottenere i file di origine per vedere tutte le cose segrete su un altro computer o qualcosa :)

— WillyWonka,

Se è disponibile l'accesso fisico, tutti possono facilmente ottenere l'accesso alla shell. Puoi cercare single-user mode. Ecco un esempio per il Pi. La partizione di avvio non è crittografata!

— macrojames

che ne dici di iniziare?

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Ci sarà un po 'di più, ma questa è la parte principale: coprirà solo la tua cartella home. Se vuoi fare di più, allora è qualcosa del tipo:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

— David Lee
fonte

Il collegamento sembra troncato e / o morto.

— XTL