自己破壊:シュレッド、DD、またはその他の方法を使用して、SDカード上のすべてのデータを自己消去します

11

私は、Raspberry Piをエアギャップコンピューターとして使用して、Ethereum BlockChainで安全な暗号化トランザクションを実行します。

時々、私が使用しているソフトウェアを更新したいと思います。つまり、SDカードをPiから取り出し、インターネットに接続されているラップトップコンピューターに挿入します。ラップトップを危険にさらしている可能性のある悪意のある人物によってSDカードから機密情報が読み取られる可能性をすべて排除するため、Piのプログラムまたはコマンドラインユーティリティを使用してSDカードのすべてを安全に消去してからSDカードを削除したいと思います。

piターミナルで入力した次のコマンドは、私が達成したいことのアイデアを伝えます。 

shred --verbose *.*
sd-card  security 
ジョン・シアリング
ソース
5
いくつかの方法では、馬が脱出した後、納屋のドアをロックしています。SSDカードを書き込むには、インターネットから入手できるディスクイメージを使用する必要があります。攻撃者は(以前に行われたように)脆弱性を作成し、それをダウンロード可能なイメージに挿入する可能性があります。この脆弱性は、最初から通貨ハーベスターを悪用する可能性があります。コンピュータを完全にエアギャップにするために、ネットワークやディスクを共有することはできません。おそらく、ハーベスタもインターネットにアクセスしてワークロードにアクセスし、結果を返します。これにより、ソフトウェアをアップグレードするずっと前からエクスプロイトが可能になります。
Steve Robillard 2017年
3
真の安全のためには、供給から破壊までのチェーン全体を保護する必要があります。
Steve Robillard 2017年
4
「エアギャップ」コンピュータはどのようにブロックチェーンにアクセスしますか?
–PaŭloEbermann 2017
2
ソフトウェアが読み込まれると、piはインターネットから何も見なくなります。アカウント番号はQRコードを使用してエアギャップpiに渡され、ブロッキーを使用して検証されます。スマートフォンでpiのタッチスクリーンに表示されているQRコードの写真を撮ることによって、暗号化されたトランザクション指示がブロックチェーンに渡されます。そのため、入力後にインターネットに接続しない限り、悪意のある人物がSDカードに保持されているキーを取得する可能性はありません。ソフトウェアをアップグレードするときに、SDを破棄して別のSDを取得することをお勧めします。次に、キーを再入力します
John Shearing 2017年
2
@JohnShearing頭の中でパスフレーズを記憶することはオプションではありませんか?
フレークシェイク2017年

回答:

17

コンシューマーSDカードは最高機密のフラッシュトランスレーションレイヤーを使用し、実際には不良ブロックを再マッピングするためにアドバタイズされたよりも多くの容量を持っているため、一般的なウェアレベリングでは、これはシュレッドでは不可能です。ファイルへの書き込みが、ディスク上に現在存在する場所と同じ場所に到達しない場合があります。

次の4つの選択肢があります。

  • 1)物理的破壊。
  • 2)単一のファイルを細断処理し、1日と呼びます
  • 3)dd if = / dev / zero of = / dev / mmcblk0を使用し、1日と呼びます(これはハードドライブを回転させるのに十分安全です...)
  • 4)すべて/すべての空き領域を細断処理します(たとえば、/ dev / mmcblk0のようなデバイス全体)。これは愚かで危険です。コンシューマーSDカードは、容量が使い果たされてすべてのファイルが削除できなくなると、ハードウェア読み取り専用モードになる傾向があるためです。

このような問題が二度と発生しないようにするには、常にSSD、SDカード、およびペンドライブで常に初日からフルディスク暗号化を使用します。ハードウェアメーカーが何をしているのかわからないので、そのためにオープンソースソフトウェア(LUKS、VeraCrypt)を使用することをお勧めします。

フレークシェイク
ソース
1
こんにちはフレークシェイク、教育をありがとう。あなたが説明したことを考えると、私は単純に行きます。「機密情報はインターネットに接続されたマシンに決して触れることができない」という単純な考えに忠実である最善の方法は、現在のSDカードを破棄し、ソフトウェアのアップグレードが必要なときに新しいカードを購入することだと思います。これにより、データはインターネットから下方向にのみ流れ、インターネットまでは流れません。ご協力ありがとうございます。
ジョン・シアリング2017年
2
前述のように、初日からフルディスク暗号化を使用することを検討してください。回転するハードディスクでさえ、今日ではオーバープロビジョニングを使用している可能性があります。
フレークシェイク2017年
5
フルディスク暗号化の大きな+1-一部の「安全な」ハードドライブは「安全なワイプ」を実装する方法だと思います。それらは常にハードウェア暗号化を使用するので、キーを捨てるだけです。
Xen2050 2017年
@JohnShearingアップグレードで事前に細断処理が必要になる方法はわかりません。とにかく、Raspbian / DebiansはAPT(apt-getの)アップデート用CDの時代に設計されていた-あなたが本当に一方向のみに流れるデータにしたい場合は、このワークフローは、まだ利用可能であるべきである
flakeshake
こんにちは、フレークシェイクです。私は、エアギャップpiを使用して秘密キーを保持し、暗号化された指示を安全に暗号化して移動します。暗号化された指示は、QRコードを使用してインターネットに渡されます。SDカードをpiから取り出し、インターネットに接続する別のコンピューターに挿入すると、デバイスがエアギャップであると主張する権利がありません。それでも私はあなたのアドバイスに従い、誰かがpiを盗み、piからキーを取り出す目的でSDカードを研究室に持ってきた場合に備えて、LUKがpiに取り組むかどうかを調査することにします。アイデアをありがとう。
ジョン・シアリング2017年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.