Мне нужно хранить конфиденциальные данные на Raspberry, чтобы программное обеспечение, работающее на Raspberry, могло их использовать, но никто другой не мог. Я могу установить жесткий пароль, отключить tty и т. д., но легко извлечь SD-карту и проверить ее на ПК.
Моя первая попытка - eCryptFS. Вроде все хорошо, но есть проблема. Как сохранить кодовую фразу и использовать ее для монтирования зашифрованной файловой системы? eCryptFS может считывать фразу-пароль из файла или использовать ее в качестве аргумента монтирования. Очевидно, я не могу использовать файл, так как он хранится небезопасно. Также я могу написать программу, которая будет передавать жестко закодированную (и запутанную) фразу-пароль в mount.ecryptfs либо в качестве параметра cli, либо из стандартного ввода. Но в этом случае также можно запустить эту программу и увидеть всю командную строку с кодовой фразой в списке процессов.
Теперь я подумываю о жестком кодировании моей парольной фразы в самом ecryptfs (или даже о чтении ее из защищенного eeprom), чтобы она работала только на моем устройстве. Или я могу использовать другие системы шифрования, но все они должны где-то принимать форму ключа. Так что единственный способ сделать это, как я вижу, это eeprom или жесткое кодирование.
Существуют ли более эффективные способы безопасного хранения конфиденциальных данных на SD-карте Raspberry?
homeиswap, поместите свои ключи LUKS в/etc(т.е. под root). Для корневого раздела вам по-прежнему нужен какой-то способ ручного ввода корневой фразы-пароля. Если у вас нет физического доступа к вашему RPi, вы можете использовать dropbear SSH (ранний SSH), который предоставляет простой хук initramfs. - person Steve schedule 03.01.2015