Есть ли способ использовать «аппаратный отпечаток» для автоматического монтирования каталога eCryptFS при загрузке?

711
Canuk

Я хотел бы, чтобы каталог eCryptfs «надежно» автоматически монтировался при загрузке без входа в систему. Мой сценарий таков: у меня есть встроенный сервер ArchLinux (на основе ARM), который использует съемную карту microSD для постоянного хранения и файловую систему.

Я хотел бы иметь зашифрованный каталог на карте microSD, чтобы, если кто-то вытащит карту microSD и попытается скопировать ее, он не сможет получить доступ к файлам в зашифрованном каталоге.

Моя мысль была такая:

Используется dmidecodeдля получения идентификатора и «аппаратного отпечатка» сервера и использования хэша dmidecodeвывода в качестве ключевой фразы для шифрования каталога.

Так что я хочу при загрузке получить dmidecodeинформацию, хэшировать ее, а затем использовать eCryptfs для автоматического монтирования, используя хэш в качестве ключевой фразы.

Таким образом, фраза-пароль нигде не сохраняется, она загружается при загрузке и используется для разблокировки. Очевидным недостатком является то, что кто-то, глядя на последовательность загрузки, может увидеть, как она работает, а затем получить парольную фразу, имея физический доступ к серверу. Поскольку он специфичен для сервера (предполагая уникальный серийный номер для процессора), они не могут получить аналогичное встроенное серверное оборудование, им потребуется тот, который привязан к конкретной карте microSD.

В первую очередь это должно послужить сдерживающим фактором для того, чтобы кто-то украл карту microSD (но не встроенный сервер) и скопировал ее.

Я предполагаю, что мой основной вопрос: как бы я добавил это в последовательность загрузки? Я использую Arch Linux v3 на ARM-оборудовании.

1
Имейте в виду, что dmidecode имеет очень мало (если есть) энтропии, связанной с ним, поэтому безопасность минимальна. Любой, кто может угадать вашу аппаратную конфигурацию (или перечислить множество возможностей), может довольно быстро определить ключ шифрования. У процессора Intel, по крайней мере, долгое время не было уникальных серийных номеров. Я не уверен насчет устройств руки. Joshua Warner 8 лет назад 0
Благодарю. На самом деле я обнаружил, что для этого конкретного устройства у каждого из них был серийный номер 00000000. Итак, «dmidecode» отсутствует. Мне интересно узнать, есть ли какой-то уникальный аппаратный номер, специфичный для конкретного устройства, который я мог бы использовать для этого. Canuk 8 лет назад 0

0 ответов на вопрос

Похожие вопросы