Препятствуйте тому, чтобы зашифрованный раздел работал на другом ПК

БОСС, кажется, получен из Debian, таким образом, первая вещь, которую необходимо сделать, проверить, находится ли ВИНО уже в их репозиториях - это, вероятно:

apt-cache search wine

В противном случае Вы могли попробовать debian один от Винного сайта, но как он говорит:

Предупреждение: Это бета пакеты, Это означает, что они будут периодически страдать от регрессий, и в результате обновление может повредить функциональность в Вине. Если последняя стабильная версия Вина (в настоящее время Вино 1.6) работает на Вас, то Вы не можете хотеть использовать эти бета пакеты.

Не беспокойтесь этим, если Вы не можете загрузить Вино непосредственно с репозиториев БОССА. К сожалению, если Вино будет отсутствовать в репозиториях БОССА, то версия от Винного сайта, вероятно, не будет работать.

2
03.04.2015, 04:29
5 ответов

Вы можете связать зашифрованные данные к конкретному устройству, используя A Доверенный модуль платформы (TPM). Они стали довольно распространенными в ноутбуках X86 в течение последних нескольких лет и могут быть установлены во многих серверах тоже.

Использование TPM вы можете генерировать ключ шифрования, который существует только в модуле, и зашифрует данные, используя это; Если вы генерируете ключ, который не может быть создан резервным копированием, то вы можете быть уверены, что данные могут быть зашифрованы только с соответствующим TPM. Копирование устройства Roam Storage бесполезно. На Linux вы можете использовать брюки для управления этим.

На платформах ARM вы можете сделать что-то подобное с ключом, хранящимся с использованием TrustZone , но я не знаю детали.

4
27.01.2020, 21:50

Вы не можете действительно полагаться на криптографические секреты в этом случае, потому что ваш встроенный компьютер должен будет знать эти секреты для функционирования, и поэтому злоумышленник потенциально знает их.

Одним из решений было бы найти или сделать секрет, который не читается извне (аналогичным образом, как предложил @psusi). Трудно предложить что-то, не зная, какое оборудование у вас именно. Может быть, серийный номер процессора - хороший вариант, хотя мне интересно, можете ли вы прочитать его через JTAG.

Еще один способ решить это запутывание. Вместо кода, который начинается с процедуры дешифрования (и делает его очевидным, откуда приходит секрет), вы должны разработать код, который несколько раз использует секрет в случайных частях программы. Например, вместо того, чтобы жесткокодировать размер буфера где-то, что вы можете использовать N-T-я цифру серийного номера вашего процессора, умноженного на 1000. Это сделает сбой кода на другой конфигурации аппаратного обеспечения, и потребуется много отладки до поиска противников из какой секрет используется и как.

Если вам нужен более подробный ответ, вам нужно также предоставить детали. Что такое модель угрозы (незаконное копирование на подобное оборудование, разборка ваших собственных алгоритмов, что-то еще)? Какое ваше оборудование? Каковы соответствующие ограничения (вы сказали, что не можете отрезать JTAG Pins, почему?)

1
27.01.2020, 21:50

Мой Сервер производит свой ключ шифрования на основе аппаратных данных, таких как тип CPU, доступная память, сетевой MAC-адрес, ... это позволяет машине перезагружать неповторимую, и если вы вынесли диск и поместили его на другой сервер, он не мог расшифровать себя.

Но это оздоровительный пункт в встроенной системе или в любом месте, где у вас есть root, поскольку вы всегда можете просто запросить ключ с использованием DMSetup Table --showkeys .

Так мне кажется, что ваша лучшая ставка будет поставить шифрование в оборудовании.

И вторая лучшая ставка, чтобы поправить свое ядро ​​как-то, так что вышеупомянутое dmsetup команда dmsetup не сможет запросить используемые клавиши шифрования, и, возможно, выпекать ключ в саму ядра, так что это тоже не может быть схвачен из initramfs.

Еще все еще можно схватить с дамп памяти, но это все же самое лучшее, что вы можете сделать ...

Конечно, это все обретано, если бегущая система видит все данные незащищенным и кто-то получит доступ и может просто скопировать незашифрованный вид.

1
27.01.2020, 21:50

Ребенок (ваш скрипт) может наследовать переменную от родительской оболочки, но не наоборот.

Другими словами, вы можете пройти переменную от оболочки, в которой вы работаете в сценарии, вы работаете в этой оболочке. Тем не менее, любая переменная, установленная в скрипте, не будет работать в оболочке, вы запускаете свой скрипт.

Временная в вашем скрипте, однако, установлена, но только для оболочки, которая открывается для вашего скрипта. Если бы вы, например, добавьте строку «echo $ ld_library_path» в свой скрипт, вы получите ожидаемый результат.

Если вы хотите установить переменную для оболочки, которая работает каждый раз, поместите его в файл .bashrc (или .bash_profile для OSX).

-121--186015-

Используйте микропроцессор, встроенный в Flash, который не может быть прочитан извне. Многие современные чипы ARM имеют такие возможности. В этой миске вы поместите свой код и ключевые ключи шифрования, необходимые для доступа к любому внешнему хранилищу.

2
27.01.2020, 21:50

Я использовал внутреннюю безопасную карту GPG для аналогичного назначения на выделенной системе, которая составляет 24 * 7, с программным обеспечением, которое:

  1. дешифрует защищенные части программного обеспечения, прежде чем они будут загружены в память
  2. , что Программное обеспечение и загруженное охраняемое программное обеспечение проверки для Snooping на память (т. Е. Процесс в системе, не входящих нами), а также для дополнительных модификаций к программному обеспечению
  3. , если система перезагружается, наш веб-сайт проверяется с данными, приходящимися от Карта и данные отправлены обратно, что позволяет дальнейшему дешифруции (до тех пор, пока система работает).
  4. Если программное обеспечение решает, что предпринимается попытка обратного инженера IT, он записывает зашифрованный журнал (который мы можем просмотреть) и блокировать безопасную карту от функционирования.

Когда вы заменяете нормальную читаемую часть программного обеспечения, он все еще очень вряд ли вы получаете доступ к зашифрованной части. Это не надежно, и это требует подключения к Интернету во время загрузки, но сохраняет против системы, когда похитителен, имея возможность загрузиться и раскрывать расшифрованное программное обеспечение (если оно не уменьшается без удаления мощности).

1
27.01.2020, 21:50

Теги

Похожие вопросы