Existe-t-il un moyen d'utiliser une «empreinte matérielle» pour monter automatiquement un répertoire eCryptFS au démarrage?


1

J'aimerais qu'un répertoire eCryptfs soit "monté de manière sécurisée" automatiquement au démarrage sans se connecter. Mon scénario est le suivant: J'ai un serveur ArchLinux intégré (basé sur ARM) qui utilise une carte microSD amovible pour le stockage persistant et le système de fichiers.

J'aimerais disposer d'un répertoire crypté sur la carte microSD afin que, si quelqu'un découvre la carte microSD et tente de la copier, il ne puisse pas accéder aux fichiers du répertoire crypté.

Ma pensée était la suivante:

Utilisation dmidecode pour obtenir l'ID et "l'empreinte matérielle" d'un serveur et utiliser un hachage du dmidecode sortie comme phrase secrète pour chiffrer le répertoire.

Donc ce que je veux faire est, au démarrage, avoir dmidecode extraire les informations, les hacher, puis utiliser eCryptfs pour effectuer un montage automatique en utilisant le hachage comme phrase secrète.

Ainsi, la phrase secrète n'est stockée nulle part, elle est tirée au démarrage et utilisée pour la déverrouiller. La faiblesse évidente est que quelqu'un qui regarde la séquence de démarrage peut voir comment cela fonctionne, puis obtenir la phrase secrète en ayant un accès physique au serveur. Dans la mesure où il est spécifique au serveur (en supposant un numéro de série unique pour le processeur), ils ne peuvent pas obtenir un matériel de serveur intégré similaire, il leur faudrait donc celui lié à la carte microSD spécifique.

Il s'agit principalement de dissuader quelqu'un de voler la carte microSD (mais pas le serveur intégré) et de le copier.

Je suppose que ma question fondamentale est la suivante: comment puis-je ajouter ceci à la séquence de démarrage? J'utilise Arch Linux v3 sur du matériel basé sur ARM.


Sachez que dmidecode a très peu d'entropie (s'il y en a une) qui lui est associée. La sécurité est donc minimale. Toute personne qui peut deviner votre configuration matérielle (ou énumérer une foule de possibilités) peut rapidement comprendre la clé de chiffrement. Les processeurs Intel n'ont au moins pas eu de numéro de série unique depuis longtemps. Je ne suis pas sûr des appareils à bras.
Joshua Warner

Merci. En fait, ce que j’ai trouvé, c’est que, pour cet appareil particulier, chacun d’eux avait un numéro de série de 00000000. Donc dmidecode est dehors. Je suis intéressé à savoir s'il existe un numéro de matériel unique spécifique à un périphérique que je pourrais utiliser pour cela.
Canuk
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.