"Mittelmässige" Automatikverschlüsselung Platte

31/03/2012 - 18:36 von Bernd Hohmann | Report spam
Ich hab hier ein kleines Telemetriesystem auf einer Compact-Flash mit
µPC und UMTS-Stick sowie Handykarte wo die Gefahr besteht, dass das
Gesamtsystem geklaut wird.

Im laufenden Betrieb kommt man ohne Kenntnis des Root-Kennworts weder an
die Chip-PIN noch an die OpenVPN Schlüssel.

Wenn jemand aber die SD-Karte an einem externen Rechner ausliest, kommt
er an alles heran.

Ok - das Risiko, dass der Dieb was mit einer ext2 Formatierten SD-Karte
anfangen kann, ist gering.

Trotzdem: gibt es die Möglichkeit, einzelne Dateien oder Partitionen so
zu verschlüsseln dass der Key an irgendeiner Hardwarekomponente (zB.
CPU-ID) hàngt? Eine "normale" Verschlüsselung verlangt die Eingabe des
Kennworts beim Start, das kann ich aber bei einem Remote-System weniger
gebrauchen und mit irgendwelchen Crypto-Chips zu arbeiten wollte ich mir
ersparen.

Soll also nicht "extrem knacksicher" sein sondern nur halbwegs
kompetente Scriptkiddies abhalten.

Bernd
 

Lesen sie die antworten

#1 Sven Hartge
31/03/2012 - 18:47 | Warnen spam
Bernd Hohmann wrote:

Ich hab hier ein kleines Telemetriesystem auf einer Compact-Flash mit
µPC und UMTS-Stick sowie Handykarte wo die Gefahr besteht, dass das
Gesamtsystem geklaut wird.



Ist das System x86-kompatibel oder ARM/MIPS/$sonstwas?

Im laufenden Betrieb kommt man ohne Kenntnis des Root-Kennworts weder
an die Chip-PIN noch an die OpenVPN Schlüssel.

Wenn jemand aber die SD-Karte an einem externen Rechner ausliest,
kommt er an alles heran.

Ok - das Risiko, dass der Dieb was mit einer ext2 Formatierten
SD-Karte anfangen kann, ist gering.



Wàre ich gar nicht mal so sicher.

Trotzdem: gibt es die Möglichkeit, einzelne Dateien oder Partitionen
so zu verschlüsseln dass der Key an irgendeiner Hardwarekomponente
(zB. CPU-ID) hàngt? Eine "normale" Verschlüsselung verlangt die
Eingabe des Kennworts beim Start, das kann ich aber bei einem
Remote-System weniger gebrauchen und mit irgendwelchen Crypto-Chips zu
arbeiten wollte ich mir ersparen.



Du kannst ja einmal schauen, ob es unterhalb von /sys irgendwo eine
immer gleiche, aber dennoch eindeutige ID gibt und die in einem
Init-Script dann benutzen, um deine Daten-Partition zu entschlüsseln.

Bei mir habe ich unter /sys/class/dmi/id die DMI-Infos vom Board, wo
auch eine Seriennummer und eine Produk-UUID zu finden sind. Sofern du
verifizieren kannst, dass diese vorhanden und jeweils eindeutig sind,
wàre das schon einmal ein Anfang.

Oder du hast eine eindeutig CPU-Serial.

Wie du ja schon selbst schreibst: ist keine 100%ige Sicherheit, aber
zumindest einmal eine gewisse Hürde, die verhindert, dass die SD-Karte
in einem anderen System gestartet oder auch nur sinnvoll ausgelesen
werden kann.

Grüße,
Sven.

Sigmentation fault. Core dumped.

Ähnliche fragen