-
Data: 2012-11-27 19:11:01
Temat: Re: Embedded Linux z szyfrowanym RFS
Od: m...@b...org.pl szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu środa, 21 listopada 2012 19:24:41 UTC+1 użytkownik Bool napisał:
> Mam SBC z ARM, na którym pracuje Linux. Poszukuję rozwiązania, które umożliwi
zablokowanie dostępu
(...)
> W uproszczeniu chodzi o to, że jeśli ktoś dostanie się do karty SD lub do NAND
flasha, to mimo że
> odczyta dane to i tak będę one bezwartościowe.
W Linuksie można zrealizować szyfrowanie na kilka sposobów, na różnych warstwach.
Od "dołu":
- Procesor, który uruchamia tylko podpisany cyfrowo/zaszyfrowany kod. Z tego, co
wiem, np. Freescale i.MX coś takiego potrafią (nazywa się chyba secure boot).
Procesor (Bootloader w procesorze) ładuje do RAM-u z karty SD lub NAND-a tzw. Boot
Stream - może to być kernel + ramdysk - odszyfrowuje go i uruchamia (to nie jest
reklama tej firmy :-).
- Bootloader (np.: u-boot) zmodyfikowany tak, żeby przed załadowaniem jądra i
ramdysku do pamięci odszyfrowywał je. Wymaga zmodyfikowania bootloadera i ogranicza
zastosowanie tylko do zaszyfrowania obrazu filesystemu.
- Szyfrowanie urządzeń blokowych na poziomie jądra: wspomniany w tej dyskusji
dm-crypt (z lub bez LUKS) lub cryptsetup. W ten sposób można zaszyfrować tylko
urządzenie blokowe (czyli takie, które obsługuje swobodne zapisy/odczyty), czyli np.
kartę SD. Rozwiązanie nie nadaje się do szyfrowania NANDa (który wymaga kasowania
przed zapisem, ma bad-sectory i się zużywa w miarę kasowań). Istnieją wprawdzie
sterowniki implementujące mapowanie NAND-a na urządzenie blokowe (FTL, gluebi), ale w
Linuksie powszechnie stosuje się specjalizowane filesystemy dla NAND (jffs2, ubifs).
- Szyfrowanie plików na poziomie filesystemu. Linux wspiera coś takiego, jak
ecryptfs: http://lxr.linux.no/#linux+v3.6.8/Documentation/file
systems/ecryptfs.txt. W dowolnym systemie plików (na karcie SD lub np. ubifs na NAND)
tworzony jest katalog (źródło), który następnie montujemy w innym katalogu (cel) pod
kontrolą ecryptfs-a: mount -t ecryptfs źródło/ cel/ . Plik umieszczony w katalogu
cel/ jest automatycznie szyfrowany i przechowywany w źródło/. Mogą być też szyfrowane
nazwy plików (wsztsko zależy od opcji montowania). Oczywiście żeby to działało,
konieczne jest wsparcie ze strony kernela i odpowiednie narzędzia pomocnicze.
Pozostaje jeszcze problem dostarczenia do systemu klucza do odszyfrowania (poza
pierwszym przypadkiem):
- użytkownik może wprowadzać PIN podczas uruchamiania
- można użyć jakiegoś wbudowanego w urządzenie tokenu (smartcard), jakiś dedykowany
chip itp. (ale to niestety podnosi koszty)
- można zastosować security-by-obscurity i w jakiś nieoczywisty sposób zaszyć klucz w
kodzie: bootloadera, Linuksa lub jakiejś usługi - ale to jest najprostsze do złamania
jak się ktoś uprze.
W praktyce:
W jednym z projektów zastosowałem ecryptfs do szyfrowania plików na NAND-zie -
działał bez problemów na 200MHz ARM9. Zaszyfrowane (AES) było kilkanaście megabajtów
danych (aplikacja, ustawienia). Narzut na czas startu był niewielki, tak samo zapisy,
czas pracy na baterii itp. Widać było spowolnienie jedynie w przypadku zapisywania
tam dużej ilości danych.
Pozdrawiam
--
Marcin Bis
http://bis.org.pl
Najnowsze wątki z tej grupy
- Taśma LED
- Jak odróżnić myjki wibrujące od ultradźwiękowych.
- Ledy na wyłączniku czasowym błyskają
- Re: Kompensacja mocy biernej przy 230VAC
- Re: Kompensacja mocy biernej przy 230VAC
- RCD wybija
- Re: Kompensacja mocy biernej przy 230VAC
- Łożysko ślizgowe - jaki olej
- Re: Kompensacja mocy biernej przy 230VAC
- Re: Kompensacja mocy biernej przy 230VAC
- Współczesny falomierz
- Zasilacz 7V na szynę DIN
- Waga z legalizacją
- Wietnam wykłada 500M$ i chce zbudować fabrykę za 50G$
- Pendrive zdycha, czy coś jeszcze innego? Problem z plikami.
Najnowsze wątki
- 2025-04-05 Dziwny wymiar wyroku
- 2025-04-05 Prunt z dachu
- 2025-04-05 Taśma LED
- 2025-04-05 Kraków => MS Dynamics 365BC/NAV Developer <=
- 2025-04-05 Warszawa => Strategic Account Manager <=
- 2025-04-05 co w Anglii dziś w Polsce za 30 lat
- 2025-04-05 Wrocław => SOC Tech Lead <=
- 2025-04-05 Gdynia => Przedstawiciel handlowy / KAM (branża TSL) <=
- 2025-04-05 Wyrok dożywocia dla Polki
- 2025-04-04 Prezydium Sejmu Tuskiego orzekło: Poseł KO mecenas Roman Giertych NIE jest mordercą (w żadnym sensie tego słowa?)
- 2025-04-04 Reset komóry
- 2025-04-04 Lublin => JavaScript / Node / Fullstack Developer <=
- 2025-04-04 Zielonka => Key Account Manager IT <=
- 2025-04-04 Warszawa => Ekspert IT (obszar systemów sieciowych) <=
- 2025-04-04 Warszawa => Mid/Senior IT Recruiter <=