Raspberryを暗号化するにはどうすればよいですか?


23

Raspberryはすべて正常で優れており、非常に高速に実行できます。しかし、オフラインデータ攻撃からSDカードを保護するにはどうすればよいですか。SSHは適切なパスワードまたはSSHキーで保護できますが、誰かがカードを手に入れた場合は、ほとんどの部分で暗号化してください。

たとえば、私のソースphpファイルやその他のソースコードはすべてSDカードに保存されており、別のLinuxシステムに簡単にマウントできます。しかし、どういうわけかSDカード全体を暗号化することでこれを防ぎたいです。

助言がありますか?


1
どのOSを使用していますか、または各OSの選択に役立つ回答を希望しますか?
マークブース

2
このガイドでは、AESを使用することを推奨しています-おそらくデフォルトは現在変更されていますが、AESは使用しないでください。
ピョートルクラ

1
/ bootを復号化したままにして、疑わしいルートファイルシステムをマウントするためのパスワードを入力する必要があります。
アレックスチェンバレン

1
LOL-DRMのハハハはこれで終わりです:-)インターネットサービスから1回限りの使用キーを作成するには、もっと複雑なシステムが必要になると思いますか?ただし、カーネルをブートする必要があるということです。キーゲッタースクリプトを作成し、それに基づいて暗号化されたパーティションをマウントする可能性があります。あなたはWoW DRMのようなものです-ネットなし、プレーなし。
ピョートルクラ

1
次に、それをネットブートするだけです。ブートサーバーを盗まない限り、オフライン攻撃を行うことはできません:)
XTL

回答:


10

ディストリビューションでサポートされている場合は、LUKS / dm-cryptを使用してディスク、PV、またはボリューム全体を暗号化できます。また、ディスク上のファイルまたはディレクトリ暗号化して、ファイルシステムをマウント可能のままにすることもできます(ただし、スクランブルされます)。

いずれにせよ、問題が発生します。クリアデータを使用する前に、誰かがキーを入力する必要があります。キーがカードに保存されている場合、盗まれたカードから攻撃者がキーを読み取ることを妨げるものは何もありません。それが人によって入力された場合、その人はブートのたびに手動でキーを入力する必要があります。


2
彼らはオフラインモードでキーを使用してデータを復号化できますか?(答えはイエスだと疑います)カーネルをMACアドレス、CPUIDまたはHW固有の何かにロックする方法はありますか?
ウィリーウォンカ

1
通常、はい。あなたのプログラムが復号化されているか、彼らがキーを持っているかどうかは関係ありません。HW IDを使用してキーを生成できる場合があります。攻撃者がボード全体にアクセスできる場合、これは役に立ちませんが、誰かがカードを手に入れた、またはクローンを作成した場合、あなたを救うかもしれません。
XTL

いや私は彼らがそれを起動することを心配していません。彼らはまだシェルアクセスを取得できません(rootを取得するためのLinuxの回避策がない限り?)ほとんどのlikleyはSDカードを取得し、ソースファイルを取得して別のコンピューターなどのすべての秘密のものを確認します:)
ウィリーウォンカ

2
物理的なアクセスが利用可能な場合、誰でも簡単にシェルアクセスを取得できます。を検索できますsingle-user mode。これがPiのです。ブートパーティションは暗号化されていません!
マクロジャム

6

始めにこれはどうですか

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

それにはもう少しありますが、それは主な部分です-それはあなたのホームフォルダのみをカバーします。あなたがもっとやりたいなら、そのようなもの:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze


4
リンクが切り捨てられているか、または死んでいるように見えます。
XTL
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.