AbcLinuxu:/ Poradna / Linuxová poradna / Sifrovani oddilu HDD pomoci kernelu?

Štítky: bezpečnost, emulace, initrd, KDE, kernel, Linux, mount, ovladače, QEMU, šifrování

Dotaz: Sifrovani oddilu HDD pomoci kernelu?

18.4.2006 16:07 Libor Valenta | skóre: 13 | Trutnov
Sifrovani oddilu HDD pomoci kernelu?

Přečteno: 315×

Odpovědět | Admin

Zdravim vsechny, potreboval bych poradit; chystam se ochranit svou praci (linuxovy operacni system pro jednoucelove pouziti, ve kterem uzivatel nebude mit ROOTova prava) pred jednoduchym zkopirovanim, nejspise za pomoci sifrovaneho filesystemu, ktery pujde namountovat pouze na harddisku s konkretnim seriovym cislem. Predstavuji si (mozna uplne mylne) nasledujici zpusob: Chtel bych, aby sifrovany oddil (partiton) s chranenym produktem (operacnim systemem XYZ) nakopirovany na beznem harddisku byl namountovan na zaklade automaticke procedury overeni serioveho cisla harddisku (seriove cislo HDD by proste bylo pouzito jako ingredience v sifre).....Existuje nejaky zpusob, ve kterem celou overovaci proceduru provede sam kernel? Zpusob typu: "initrd -> hdparm -i|grep Serial -> mount /dev/cryptodev" mi pripadne jako zcela nedostatecny.....Myslim, ze nejaky zpusob urco existuje, ale nejak mi uletela googlovaci muza.....Za pripadne nakopnuti smerem kupredu dekuji.

Nástroje: Začni sledovat (3) ?

Odpovědi

18.4.2006 21:13 DRUDRIGER
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

No príde mi to docela ulítlé , anebo sem nepochopil zadání. I kdybis si to vymyslel tak pak stačí zajistit číslo daného disku a vždy a pak to skopíruješ, i když ze daného zadání sem teda nepochopil čo by se jako mnelo kopírovat.

18.4.2006 22:01 Libor Valenta | skóre: 13 | Trutnov
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Jo zadani jsem asi mohl napsat lip, to je pravda......Zkopirovat disk 1:1 nebude asi nikdy problem. Proto by mel byt filesystem zasifrovany a desifrovatelny by mel byt POUZE v okamziku mountovani, a to za JEDINE podminky, ze sedi seriove cislo harddisku. Idealni by bylo, aby kernel byl schopen seriove cislo disku precist, zaradit ho do desifrovaciho procesu (jako ingredienci sifry) a oddil se systemem mountnout (a pokracovat v bootu systemu....). Nikdo nebude pri desifrovacim procesu vyzyvan k zadavani nejakych hesel, uspesne desifrovani by proste melo byt zavisle "jen" na seriovem cislu disku. Celej desifrovaci proces by mel byt zakompilovan do kernelu, protoze jak uz jsem vyse psal, skripty v initrd by to sice technicky vyresili, ale nesplnili by podminku jakesi "nerozlomitelnosti" nebo jak to pojmenovat. Ten, kdo by byl potencialne chtivej vykopirovat soubory ven, by jednoduse pozmenil initrd a hotovo.....ochrana zadna. Verim, ze nekdo neco podobnyho uz pouzil/vymyslel, jen ted nevim, jak takovy zpusob pojmenovat, a co teda hledat v googlu.... Ale mozna si moc vymejslim.

18.4.2006 22:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

To je k ničemu, jak už bylo vysvětleno v první odpovědi. Pokud se útočník dostane k počítači tak blízko, že bude schopen zkopírovat si jeho disk, bude schopen zjistit i to sériové číslo disku a následně provést dešifrování stejně, jako by to provedl váš systém. Jednoduše a prostě: má-li být systém schopen nabootovat bez lidské asistence, pak ten, kdo se k němu dostane fyzicky, dostane se i k obsahu jeho filesystému. Přes to vlak nejede, nepočítáme-li extrémní prostředky typu nálože, která zničí disk v okamžiku, kdy útočník otevře case apod.

18.4.2006 23:14 Libor Valenta | skóre: 13 | Trutnov
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

To je pravda. A co takhle do cele veci zaradit certifikat? Podle serioveho cisla HDD a neverejneho certifikatu bych osobne vygeneroval verejny certifikat, pomoci ktereho by pak kernel automaticky uspesne mountul filesystem. Bez neverejneho certifikatu by tak nikdo jiny nebyl schopen vygenerovat funkcni verejny certifikat, i kdyz SN bude mit. Takova teorie uz je lepsi ne?

19.4.2006 00:05 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Když už to mám jednou připojené, co mi zabrání to zkopírovat? A vždy se to dá nabootovat třeba v qemu, kde můžu mít SN jaké chci, navíc s možností použít gdb na to tajemné mountování :-)

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

19.4.2006 00:11 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Pochopte, že aby ten systém šlo při bootu přimountovat, musí z principu být někde dostupné něco, co to přimountování umožní. Jestli to bude tajný (ano, tajný, veřejný vám bude k ničemu) klíč pro asymetrickou šifru nebo klíč pro symetrickou šifru, to už nehraje nejmenší roli.

19.4.2006 08:22 Libor Valenta | skóre: 13 | Trutnov
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Jasny chapu. Myslel jsem, ze by celej overovaci/desifrovaci proces, vcetne toho klice byl zakompilovanej v kernelu....sice zadnej velkej zabezpecovaci slagr, ale alespon neco.

19.4.2006 10:19 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

To by sice v zásadě i šlo, ale propblém je právě v tom, že to nic neřeší - to jádro by pořád muselo být volně dostupné k disassemblování a krokování…

19.4.2006 10:53 Libor Valenta | skóre: 13 | Trutnov
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Disasemblovani, Qemu a jine metody extrakce dat - to uz je akceptovatelne "zlo". Chapu, ze lepe to asi zabezpecit nepujde. Myslite, ze uz nekdo neco takoveho nekdy nekde resil?

18.4.2006 23:06 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Pokud stačí řešení ve stylu security by obscurity, tak to sériové číslo můžete použít jako heslo pro dm_crypt (třeba pomocí jednoduchého skriptu v initramfs). Ale pokud někdo to někdo bude chtít kopírovat, tak to udělá, bez ohledu na to, jaká softwarová omezení vymyslíte.

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

19.4.2006 10:47 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Musite si napsat vlastni nedokumentovany filesystem a ovladace a natvrdo jej zakompilovat do jadra. Potom nikdo bez tohoto jedra nema sanci, pokud nejste takovy genius, ze by mu to stalo za reverse engineering. Jednoduche, ne?

Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.

19.4.2006 10:56 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Ale vazne. IMO cryptofs to resi. Pokud klic dobre ukryjete (a nebudete publikovat kam), nejlepe primo do jadra (k tomu ucelu modifikujte ovladac cryptofs), pak nikdo bez tohoto jadra nebude mit sanci vas filesystem nabootovat. Pak Vam jen staci overit, ze system bezi na stroji, pro ktery je urcen. Muzete pouzit mnoho vlastosti (MAC adresu, IP adresu, seriove cislo disku apod.), ktere muzete overovat online proti nejake db na webu. Myslim si, ze pri trose snahy bude temer nemozne Vas system spustit jinde nez na licencovanem miste.

Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.

23.4.2006 08:37 Ondřej Čečák | skóre: 33
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

A nebude proste snazsi rozdat uzivatelum flashdisky, na kterych bude klic k rozsifrovani disku?

-- "Ja vim, on vi, ty pico!"

23.4.2006 10:45 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Jestli jsem to dobře pochopil, tazateli nešlo o to, aby se při ukradení počítače zloděj nedostal k datům, ale spíš o to, aby si právoplatný uživatel nemohl zkopírovat systém na jiný počítač. Takže je (aspoň z mého pohledu) docela dobře, že odpověď zní "Ne, nejde to." :-(

23.4.2006 09:28 Jan Zahornadsky | skóre: 22 | blog: hans_blog
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Možná mi něco uniká, ale to jde, napsat nějaký vlastní kód, vložit ho do code base kernelu, to zkompilovat a nešířit s tím zdrojáky? (nejsem právník, GPL nebo pod čím je linux neznám, tak když tak promiňte :-)

)

Actually, I was half an hour into the pointer scripting documentation when she got dressed and left.

23.4.2006 10:43 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

I to, ze by kod siril by neznamenalo ze ten system bude pak bez problemu spustitelny i jinde. Akorat by tehle vymozenosti, aby se system dal spustit jen na urcitem disku, mohlo vyuzivat vice lidi.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

23.4.2006 10:30 finn | skóre: 43 | blog: finnlandia | 49° 44´/13° 22´
Rozbalit Rozbalit vše Re: Sifrovani oddilu HDD pomoci kernelu?

Co něco takového?

Užívej dne – možná je tvůj poslední.

Založit nové vlákno • Nahoru

Tiskni Sdílej: