Existe uma maneira de usar uma “impressão digital de hardware” para montar automaticamente um diretório eCryptFS na inicialização?

1

Eu gostaria de ter um diretório eCryptfs "com segurança" montado automaticamente na inicialização sem efetuar login. Meu cenário é o seguinte: Eu tenho um servidor ArchLinux embutido (baseado em ARM) que usa um cartão microSD removível para armazenamento persistente e o sistema de arquivos.

Eu gostaria de ter um diretório criptografado no cartão microSD para que, se alguém retirar o cartão microSD e tentar copiá-lo, eles não possam acessar os arquivos no diretório criptografado.

Meu pensamento foi este:

Use dmidecode para obter o ID e a "impressão digital de hardware" de um servidor e use um hash da dmidecode como senha para criptografar o diretório.

Então, o que eu quero fazer é, na inicialização, ter dmidecode extrair as informações, usar o hash e usar o eCryptfs para usar o hash como senha.

Portanto, a frase secreta não é armazenada em lugar algum, é puxada na inicialização e usada para desbloqueá-la. A fraqueza óbvia é que alguém olhando para a seqüência de inicialização pode ver como ela funciona e, em seguida, obter a senha, tendo acesso físico ao servidor. Uma vez que é específico para o servidor (assumindo um número de série único para o processador), eles não poderiam obter um hardware de servidor incorporado similar, eles precisariam de um vinculado ao cartão microSD específico.

Principalmente, isso serve para impedir que alguém roube o cartão microSD (mas não o servidor incorporado) e copie-o.

Eu acho que minha pergunta de fundo é: como eu adicionaria isso à seqüência de inicialização? Estou usando o Arch Linux v3 em hardware baseado em ARM.

    
por Canuk 09.07.2014 / 18:27

0 respostas