Вы хотите, чтобы ваши данные были доступны для чтения для запуска вашего приложения и отображения его с помощью этого одного скрипта, но вы не хотите, чтобы люди могли читать ваши данные, если у них есть доступ к машине и они могут извлечь жесткий диск.
Шифрование может помочь, но только если ключа нет на диске. Так что забудьте про автомонтирование :, оно вам не поможет. Если ключ находится на диске, вы не получаете никакой безопасности по сравнению с оставлением данных незашифрованными.
Если ключа нет на диске, то где он может быть?
- Ключ может быть получен из пароля. Но тогда кому-то нужно ввести пароль во время загрузки. dm -crypt будет проще настроить для этого, чем ecryptfs :ecryptfs предназначен для многопользовательской системы, так что каждый пользователь имеет свой собственный ключ шифрования, тогда как dm -crypt предназначен для шифрования целый диск или раздел.
- Ключ может находиться на другом съемном оборудовании, которое не остается постоянно подключенным к компьютеру. Самое простое решение — использовать dm -crypt и файл ключа на USB-накопителе или SD-карте. Опять же, кто-то должен присутствовать во время загрузки, чтобы вставить диск, содержащий ключ.
- Ключ может находиться на другом оборудовании, постоянно подключенном к компьютеру. Но тогда вам нужно помешать злоумышленнику загрузиться с другого диска, восстановить ключ, а затем расшифровать исходный диск. Или загрузиться с другого диска, изменить загрузочный код на существующем диске, чтобы добавить программу, которая будет экспортировать данные или разрешить вход без пароля, а затем загрузиться с исходного диска. Итак, вам нужна некоторая форма безопасной загрузки . (Это безопасная загрузка, как в у вас есть ключи и вы можете управлять тем, что работает на вашем компьютере, в отличие от безопасной загрузки, поскольку производитель имеет ключи и не позволяет вам установить операционную систему по вашему выбору..)
Если вы не хотите полагаться только на физическую безопасность, (поместите компьютер в запертый ящик, который нельзя открыть без электроинструмента ), и вы не хотите, чтобы кто-то вмешивался каждый раз. когда компьютер запускается, безопасная загрузка является единственным решением.
Это означает, что вам нужен ПК с TPM , которым вы можете управлять, или плата Arm с безопасной загрузкой, которой вы можете управлять (. возможность запуска вашего приложения на телефоне Android с безопасной загрузкой или на iPhone ).
Jesse William Mac Dougall
25.10.2021, 18:50
Ссылка