Katılımsız başlatılması gereken bir SSD'deki dosyaları şifrelemenin bir yolu var mı?


1

Şirketim, temelde özel bir yazılım olan bir fantezi kutu içinde bir Linux PC olan bir ürün geliştiriyor.

Dosya sistemi için ticari bir SSD kullandığından, ahlaksız bir müşterinin birimi söküp, tüm yazılımlarımızı SSD'den indirebilir ve kendi sistemlerini oluşturabileceğinden endişeleniyorum.

Açık cevap bir BIOS HDD şifresi kullanmak olacaktır, ancak sistemin tamamen katılımsız olarak başlatılması gerekir. Verilerimizi şifrelemek için herhangi bir seçenek var mı, ancak şifreler girmeden hala önyükleme yapabiliyor musunuz? Belki CPU seri numarası veya MAC adresiyle ilgili bir şey?


Eğer cihazın tersine mühendislik yapılması sizin için bir endişe ise, neden birisinin tersine mühendislik yapması durumunda izlenebilmesi için üretilen ve kodun içine gömülen her cihaz için benzersiz bir kimlik atamıyorsunuz?
bwDraco

2
Bir Linux uygulaması hiç görmedim, ancak istediğiniz şey temelde TPM'nin ne için tasarlandığı. Sisteminizde TPM var mı? Teorik olarak sürücü şifreleme anahtarları TPM'ye gider ve teorik olarak çıkartılamaz. (Bakınız bitlocker)
Zoredache

Yanıtlar:


3

HDD'nin tamamını şifreleyemez ve verilere erişmeden hala önyükleme yapamazsınız. Yani, eğer bootloader erişebiliyorsa, herkes erişebilir. Bakmak istediğiniz şey, önyüklemeye yetecek kadar erişimi olan ve gerisini güvenli kılan bir önyükleyici oluşturmak.

Tercihen, işletim sisteminizi / programınızı derlemenin bir şey haline geldiği bir duruma derlemek istersiniz, bu yüzden zaman alıcı bir şey geliştirmek kendileri için daha iyi olur. Belki de kodu yalnızca belirli donanım etiketlerinde çalıştırmak bir fikirdir. Donanım mevcut değilse, garip bir hata verir.


Ben de öyle düşünüyordum. Sanırım takip eden sorum, kilit olarak kullanabileceğim uygun olmayan donanım etiketinin ne olacağıydı.
Chriszuma

2
@ Kriszuma: Bu sorunun klasik çözümü kod gizliliğidir . "Garip hata" kelimelerine dikkat edin: Yazılımın yetkisiz bir donanımda olduğu için kullanıcı tarafından çalıştırılmadığı açıksa, kullanıcı donanımı tersine çevirmeyi deneyebilir. Kullanıcıyı hatanın nedeninden habersiz bırakırsanız, cihazı tersine mühendislik yapmayı denemesi daha az olasıdır.
bwDraco

0

Linux'u işletim sistemi olarak kullanıyorsanız, LUKS'u kontrol etmelisiniz . Mobil cihazlarda bile çalıştığı biliniyor


Ve bu, sistemin katılımı olmadan başlatılmasına nasıl izin veriyor ? AFAIK luks isteminde veya şifrelenmemiş bir anahtar dosya olarak bir şifre girmenizi gerektirir.
Zoredache

Bence "şifrelenmemiş anahtar dosya" ile başlamak için iyi bir yer gibi geliyor. Bunu ve bunu
yorodm
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.