Como criptografar meu Raspberry?

O Raspberry é ótimo e pode funcionar bem rápido. Mas como posso proteger meu cartão SD contra ataques de dados offline. O SSH pode ser protegido com uma boa senha ou uma chave SSH, mas se alguém se apossar do cartão, gostaria que ele fosse criptografado na maior parte.

Por exemplo, todos os meus arquivos php de origem ou qualquer outro código-fonte são armazenados no cartão SD e podem ser facilmente montados em outro sistema linux. Mas eu quero evitar isso criptografando o cartão SD inteiro de alguma forma.

Alguma sugestão?

boot security

— Willy Wonka
fonte

Qual sistema operacional você está usando ou gostaria de uma resposta para cada sistema operacional para ajudá-lo a decidir entre eles?

— Mark Booth

O guia sugere o uso do AES - possivelmente o padrão foi alterado agora, mas não o uso do AES - ele pode ser facilmente quebrado.

— Piotr Kula

Você precisa deixar / inicializar descriptografado e inserir uma senha para montar o sistema de arquivos raiz que eu suspeito.

— Alex Chamberlain

LOL - Tanta coisa para DRM hahaha :-) Eu acho que será necessário um sistema mais complexo para criar as chaves de uso único de um sercivo da Internet, possivelmente? Mas isso significa que você precisa inicializar o kernel - crie um script de obtenção de chaves e, possivelmente, monte uma partição criptografada com base nisso. Você sabe como WoW DRM- Sem rede, sem brincadeira.

— Piotr Kula

Então você pode simplesmente inicializá-lo. A menos que eles roubam sua bootserver, eles não podem fazer ataque offline :)

— XTL

Respostas:

Você pode criptografar todo o disco, pv ou volume usando LUKS / dm-crypt se sua distribuição suportar. Também é possível criptografar arquivos ou diretórios no disco enquanto deixa o sistema de arquivos montável (mas embaralhado).

De qualquer forma, você terá um problema: antes de usar os dados limpos, alguém precisa inserir a chave. Se a chave estiver armazenada no cartão, nada impede que um invasor leia a chave em um cartão roubado. Se for inserida por uma pessoa, ela precisará digitar a chave manualmente após cada inicialização.

— XTL
fonte

Eles podem descriptografar dados usando a chave no modo offline? (Suspeito que a resposta seja sim) Existe alguma maneira de bloquear um Kernel em um endereço MAC, CPUID ou algo específico de HW?

— WillyWonka

Normalmente sim. Não importa se o seu programa está descriptografando ou o deles, se eles têm a chave. Você pode usar um ID de HW para gerar a chave. Isso não ajudará se o atacante tiver acesso a todo o tabuleiro, mas poderá salvá-lo se alguém apenas pegar ou clonar o cartão.

— XTL

Sim, eu não estou preocupado com eles inicializando. Eles ainda não conseguem obter acesso ao Shell (a menos que exista um trabalho Linux para obter root ???). Provavelmente, eles tentarão pegar o cartão SD e obter os arquivos de origem para ver todas as coisas secretas em outro computador ou algo :)

— WillyWonka

Se o acesso físico estiver disponível, todos poderão obter facilmente acesso ao shell. Você pode procurar single-user mode. Aqui está um exemplo para o Pi. A partição de inicialização não está criptografada!

— Macrojames 16/08/2012

Que tal isso para começar

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Haverá um pouco mais, mas essa é a parte principal - ela cobrirá apenas a sua pasta pessoal. Se você quiser fazer mais, é algo como:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

— David Lee
fonte

O link parece truncado e / ou morto.

— XTL