-
Data: 2012-11-27 19:11:01
Temat: Re: Embedded Linux z szyfrowanym RFS
Od: m...@b...org.pl szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu środa, 21 listopada 2012 19:24:41 UTC+1 użytkownik Bool napisał:
> Mam SBC z ARM, na którym pracuje Linux. Poszukuję rozwiązania, które umożliwi
zablokowanie dostępu
(...)
> W uproszczeniu chodzi o to, że jeśli ktoś dostanie się do karty SD lub do NAND
flasha, to mimo że
> odczyta dane to i tak będę one bezwartościowe.
W Linuksie można zrealizować szyfrowanie na kilka sposobów, na różnych warstwach.
Od "dołu":
- Procesor, który uruchamia tylko podpisany cyfrowo/zaszyfrowany kod. Z tego, co
wiem, np. Freescale i.MX coś takiego potrafią (nazywa się chyba secure boot).
Procesor (Bootloader w procesorze) ładuje do RAM-u z karty SD lub NAND-a tzw. Boot
Stream - może to być kernel + ramdysk - odszyfrowuje go i uruchamia (to nie jest
reklama tej firmy :-).
- Bootloader (np.: u-boot) zmodyfikowany tak, żeby przed załadowaniem jądra i
ramdysku do pamięci odszyfrowywał je. Wymaga zmodyfikowania bootloadera i ogranicza
zastosowanie tylko do zaszyfrowania obrazu filesystemu.
- Szyfrowanie urządzeń blokowych na poziomie jądra: wspomniany w tej dyskusji
dm-crypt (z lub bez LUKS) lub cryptsetup. W ten sposób można zaszyfrować tylko
urządzenie blokowe (czyli takie, które obsługuje swobodne zapisy/odczyty), czyli np.
kartę SD. Rozwiązanie nie nadaje się do szyfrowania NANDa (który wymaga kasowania
przed zapisem, ma bad-sectory i się zużywa w miarę kasowań). Istnieją wprawdzie
sterowniki implementujące mapowanie NAND-a na urządzenie blokowe (FTL, gluebi), ale w
Linuksie powszechnie stosuje się specjalizowane filesystemy dla NAND (jffs2, ubifs).
- Szyfrowanie plików na poziomie filesystemu. Linux wspiera coś takiego, jak
ecryptfs: http://lxr.linux.no/#linux+v3.6.8/Documentation/file
systems/ecryptfs.txt. W dowolnym systemie plików (na karcie SD lub np. ubifs na NAND)
tworzony jest katalog (źródło), który następnie montujemy w innym katalogu (cel) pod
kontrolą ecryptfs-a: mount -t ecryptfs źródło/ cel/ . Plik umieszczony w katalogu
cel/ jest automatycznie szyfrowany i przechowywany w źródło/. Mogą być też szyfrowane
nazwy plików (wsztsko zależy od opcji montowania). Oczywiście żeby to działało,
konieczne jest wsparcie ze strony kernela i odpowiednie narzędzia pomocnicze.
Pozostaje jeszcze problem dostarczenia do systemu klucza do odszyfrowania (poza
pierwszym przypadkiem):
- użytkownik może wprowadzać PIN podczas uruchamiania
- można użyć jakiegoś wbudowanego w urządzenie tokenu (smartcard), jakiś dedykowany
chip itp. (ale to niestety podnosi koszty)
- można zastosować security-by-obscurity i w jakiś nieoczywisty sposób zaszyć klucz w
kodzie: bootloadera, Linuksa lub jakiejś usługi - ale to jest najprostsze do złamania
jak się ktoś uprze.
W praktyce:
W jednym z projektów zastosowałem ecryptfs do szyfrowania plików na NAND-zie -
działał bez problemów na 200MHz ARM9. Zaszyfrowane (AES) było kilkanaście megabajtów
danych (aplikacja, ustawienia). Narzut na czas startu był niewielki, tak samo zapisy,
czas pracy na baterii itp. Widać było spowolnienie jedynie w przypadku zapisywania
tam dużej ilości danych.
Pozdrawiam
--
Marcin Bis
http://bis.org.pl
Najnowsze wątki z tej grupy
- Thunderbird i dysk...
- opornosc falowa
- Bateria 9V 6F22, alkaliczna v cynkowa, samorozładowanie, bateria wysokiej trwałości do miernika
- Tani zakup z ali?
- w czasach LED komary mają ciężko
- walizka z kodami
- Rejestrator temperatur - termopara, siec
- Router LTE z możliwością zmian MTU
- Fajny film widziałem...
- Jaka ładowarka sieciowa do Iphona?
- Taśma izolacyjna do prac elektrycznych
- Recenzja 3.1A ;) w 6 gniazdach...
- Re: Recenzja 3.1A ;) w 6 gniazdach...
- Re: Recenzja 3.1A ;) w 6 gniazdach...
- Re: Recenzja 3.1A ;) w 6 gniazdach...
Najnowsze wątki
- 2025-07-25 Drastycznie rośnie import stali - w hucie w Dąbrowie Górniczej zostanie wygaszony wielki piec
- 2025-07-25 Drastycznie rośnie import stali - w hucie w Dąbrowie Górniczej zostanie wygaszony wielki piec
- 2025-07-25 I kolejny inżynier...
- 2025-07-25 Kobiety, bójcie się inżynierów...
- 2025-07-25 Warszawa => Konsultant Wiodący SAP PP <=
- 2025-07-25 Re: Brawo !!! Osy chronione w Niemczech. Za usunięcie gniazda grozi mandat
- 2025-07-25 cudzoziemiec bez biletu
- 2025-07-25 Gdynia => Sales Executive / KAM <=
- 2025-07-25 Inżynierzy z prawomocnym...
- 2025-07-25 Łódź => Mainframe (z/OS, Assembler) Developer <=
- 2025-07-25 Warszawa => Inżynier oprogramowania .Net <=
- 2025-07-25 Kraków => Senior Fullstack Engineer (Low-Code Platform) <=
- 2025-07-25 Skrobanie
- 2025-07-25 Lublin => Konsultant ds. Wdrożeń ERP (moduł FK) <=
- 2025-07-25 Warszawa => Senior Frontend Developer (React + React Native) <=