W dniu środa, 21 listopada 2012 19:24:41 UTC+1 użytkownik Bool napisał:
> Mam SBC z ARM, na którym pracuje Linux. Poszukuję rozwiązania, które umożliwi
zablokowanie dostępu
(...)
> W uproszczeniu chodzi o to, że jeśli ktoś dostanie się do karty SD lub do NAND
flasha, to mimo że
> odczyta dane to i tak będę one bezwartościowe.

W Linuksie można zrealizować szyfrowanie na kilka sposobów, na różnych warstwach.

Od "dołu":
- Procesor, który uruchamia tylko podpisany cyfrowo/zaszyfrowany kod. Z tego, co
wiem, np. Freescale i.MX coś takiego potrafią (nazywa się chyba secure boot).
Procesor (Bootloader w procesorze) ładuje do RAM-u z karty SD lub NAND-a tzw. Boot
Stream - może to być kernel + ramdysk - odszyfrowuje go i uruchamia (to nie jest
reklama tej firmy :-).

- Bootloader (np.: u-boot) zmodyfikowany tak, żeby przed załadowaniem jądra i
ramdysku do pamięci odszyfrowywał je. Wymaga zmodyfikowania bootloadera i ogranicza
zastosowanie tylko do zaszyfrowania obrazu filesystemu.

- Szyfrowanie urządzeń blokowych na poziomie jądra: wspomniany w tej dyskusji
dm-crypt (z lub bez LUKS) lub cryptsetup. W ten sposób można zaszyfrować tylko
urządzenie blokowe (czyli takie, które obsługuje swobodne zapisy/odczyty), czyli np.
kartę SD. Rozwiązanie nie nadaje się do szyfrowania NANDa (który wymaga kasowania
przed zapisem, ma bad-sectory i się zużywa w miarę kasowań). Istnieją wprawdzie
sterowniki implementujące mapowanie NAND-a na urządzenie blokowe (FTL, gluebi), ale w
Linuksie powszechnie stosuje się specjalizowane filesystemy dla NAND (jffs2, ubifs).

- Szyfrowanie plików na poziomie filesystemu. Linux wspiera coś takiego, jak
ecryptfs: http://lxr.linux.no/#linux+v3.6.8/Documentation/file
systems/ecryptfs.txt. W dowolnym systemie plików (na karcie SD lub np. ubifs na NAND)
tworzony jest katalog (źródło), który następnie montujemy w innym katalogu (cel) pod
kontrolą ecryptfs-a: mount -t ecryptfs źródło/ cel/ . Plik umieszczony w katalogu
cel/ jest automatycznie szyfrowany i przechowywany w źródło/. Mogą być też szyfrowane
nazwy plików (wsztsko zależy od opcji montowania). Oczywiście żeby to działało,
konieczne jest wsparcie ze strony kernela i odpowiednie narzędzia pomocnicze.

Pozostaje jeszcze problem dostarczenia do systemu klucza do odszyfrowania (poza
pierwszym przypadkiem):
- użytkownik może wprowadzać PIN podczas uruchamiania
- można użyć jakiegoś wbudowanego w urządzenie tokenu (smartcard), jakiś dedykowany
chip itp. (ale to niestety podnosi koszty)
- można zastosować security-by-obscurity i w jakiś nieoczywisty sposób zaszyć klucz w
kodzie: bootloadera, Linuksa lub jakiejś usługi - ale to jest najprostsze do złamania
jak się ktoś uprze.

W praktyce:
W jednym z projektów zastosowałem ecryptfs do szyfrowania plików na NAND-zie -
działał bez problemów na 200MHz ARM9. Zaszyfrowane (AES) było kilkanaście megabajtów
danych (aplikacja, ustawienia). Narzut na czas startu był niewielki, tak samo zapisy,
czas pracy na baterii itp. Widać było spowolnienie jedynie w przypadku zapisywania
tam dużej ilości danych.

Pozdrawiam
--
Marcin Bis
http://bis.org.pl