Bagaimana cara mengenkripsi Raspberry saya?

23

Raspberry semuanya baik dan bagus dan dapat berjalan cukup cepat. Tetapi bagaimana saya bisa melindungi kartu SD saya dari serangan data offline. SSH dapat dilindungi dengan kata sandi yang baik atau kunci SSH tetapi jika seseorang memegang kartu saya ingin sebagian besar dienkripsi.

Sebagai contoh semua file php sumber saya atau kode sumber lain disimpan pada kartu SD dan dapat dengan mudah dipasang ke sistem linux lain. Tetapi saya ingin mencegah hal ini dengan cara enkripsi seluruh kartu SD.

Ada saran?

boot security WillyWonka
sumber
1
OS mana yang Anda gunakan, atau Anda ingin jawaban untuk setiap OS untuk membantu Anda memutuskan di antara mereka?
Mark Booth
2
Panduan ini menyarankan untuk menggunakan AES- Mungkin standarnya diubah sekarang tetapi jangan gunakan AES- Mudah retak.
Piotr Kula
1
Anda harus meninggalkan / mem-boot dekripsi dan memasukkan kata sandi untuk memasang sistem file root yang saya curigai.
Alex Chamberlain
1
LOL - Begitu banyak untuk DRM hahaha :-) Saya pikir beberapa sistem yang lebih kompleks akan diperlukan untuk membuat kunci penggunaan satu kali dari sercive internet mungkin? Tapi itu berarti Anda perlu mem-boot kernel-membuat skrip pengambil kunci dan mungkin me-mount partisi terenkripsi berdasarkan itu entah bagaimana. Anda tahu seperti WoW DRM- Tidak ada jaring, tidak ada permainan.
Piotr Kula
1
Maka Anda bisa netboot saja. Kecuali mereka mencuri bootserver Anda, mereka tidak dapat melakukan serangan offline :)
XTL

Jawaban:

10

Anda dapat mengenkripsi seluruh disk, pv, atau volume menggunakan LUKS / dm-crypt jika distribusi Anda mendukungnya. Juga memungkinkan untuk mengenkripsi file atau direktori pada disk sambil membiarkan filesystem mountable (tetapi diacak).

Apa pun itu, Anda akan mengalami masalah: Sebelum menggunakan data yang jelas, seseorang harus memasukkan kunci. Jika kunci disimpan di kartu, tidak ada yang mencegah penyerang membaca kunci dari kartu curian. Jika diinput oleh seseorang, orang itu perlu memasukkan kunci secara manual setelah setiap boot.

XTL
sumber
2
Bisakah mereka mendekripsi data menggunakan kunci dalam mode offline? (Saya menduga jawabannya adalah ya). Apakah ada cara untuk mengunci Kernel ke alamat MAC, CPUID atau sesuatu yang khusus HW?
WillyWonka
1
Biasanya ya. Tidak masalah apakah itu program Anda mendekripsi atau mereka jika mereka memiliki kuncinya. Anda mungkin dapat menggunakan id HW untuk menghasilkan kunci. Itu tidak akan membantu jika penyerang memiliki akses ke seluruh papan tetapi mungkin menyelamatkan Anda jika seseorang hanya mengambil atau mengkloning kartu.
XTL
Ya saya tidak khawatir mereka mem-boot-nya. Mereka masih tidak bisa mendapatkan akses Shell (kecuali ada Linux yang bekerja untuk mendapatkan root ???) Kebanyakan likley mereka akan mencoba dan mengambil kartu SD dan mendapatkan file sumber untuk melihat semua hal rahasia di komputer lain atau sesuatu :)
WillyWonka
2
Jika akses fisik tersedia, semua orang dapat dengan mudah mendapatkan akses shell. Anda bisa mencari single-user mode. Berikut ini adalah contoh untuk Pi. Partisi boot tidak dienkripsi!
macrojames
6

bagaimana dengan ini sebagai permulaan

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Akan ada sedikit lebih untuk itu tetapi itulah bagian utama - itu hanya akan menutupi folder rumah Anda. Jika Anda ingin melakukan lebih dari itu sesuatu seperti:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

David Lee
sumber
4
Tautan terlihat terpotong dan / atau mati.
XTL