Restrikce nabootováné systému na specifický HW

chladic

Restrikce nabootováné systému na specifický HW
« kdy: 02. 12. 2014, 16:41:35 »
Zdravim vsetkych,

uz dlhsie sa zaoberam jednou ulohou, ktoru neviem vyriesit.
Chcem spravit instalaciu linuxoveho systemu s cryptovanym root FS, tak aby sa nemuselo zadavat heslo pri boote.

Cize vysledok je taky ak dam niekomu nainstalovany system s celym HW, tak si ho nemoze nijak skopirovat, ani pozmenit.
Jedna moznost ma napadla kluc k odcryptovaniu root FS naviazat na motherboard ID + HDD ID a hodit do do kernelu, pretoze
v initrd to je jednoduche vidiet a zmenit. Netusim ale ako nieco take realizovat.
Dalsia moznost bola projekt coreboot, ale v nom som nenasiel riesenie na tento problem.

Napada niekoho nieco, ako to riesit ?

dakujem za kazdy podnet
Rast'o
« Poslední změna: 02. 12. 2014, 21:24:55 od Petr Krčmář »


Radek

Re:Restrikce nabootovani systemu na specificky HW
« Odpověď #1 kdy: 02. 12. 2014, 17:06:45 »
Ahoj,

Pravdepodobne hledas neco jako TPM(http://cs.wikipedia.org/wiki/Trusted_Platform_Module). Umoznuje to uvnitr uchovat klic, kterej se pak pouzije pro desifrovani. Vetsinou se to ale pouziva na RSA. Bios zaheslujes aby ti tam nekdo nebootoval odkud nechces a pak nastavis v biosu(pouze nektere to podporuji) ze po odkrytovani se smaze obsah TPM. Dalsi reseni by byl secureBoot. Nabootujes jen podepsany kod. Ale jak dostat vlastni klice do biosu, to netusim.

Radek

RDa

  • *****
  • 2 674
    • Zobrazit profil
    • E-mail
Re:Restrikce nabootovani systemu na specificky HW
« Odpověď #2 kdy: 02. 12. 2014, 17:36:24 »
Taky muzes pouzit neco jineho nez x86 (tj. ARM) kde je hw podpora pro SecureBoot

Bla

Re:Restrikce nabootovani systemu na specificky HW
« Odpověď #3 kdy: 02. 12. 2014, 18:33:30 »
Ach jo  ::)
To bude perla tohleto opravovat  ;D
Ale na druhou stranu se bude stačit připojit po síti, zkopírovat si všechno podstatné.

Libn

Re:Restrikce nabootovani systemu na specificky HW
« Odpověď #4 kdy: 02. 12. 2014, 20:45:43 »
Mozem sa ta na neco zpitat? Preboha preco chces daco take robit?
Okrem teho, vies, ze budes muset platit za custom hardware alebo nejaky blackbox (ktory aj tak do zopar rokov nekdo crackne)?

Bla:
Pssst, alebo k tomu backdooru da dlhsie heslo!


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Restrikce nabootováné systému na specifický HW
« Odpověď #5 kdy: 02. 12. 2014, 21:33:14 »
Jedna moznost ma napadla kluc k odcryptovaniu root FS naviazat na motherboard ID + HDD ID a hodit do do kernelu, pretoze
v initrd to je jednoduche vidiet a zmenit. Netusim ale ako nieco take realizovat.

To jiste zastavi alespon polovinu pionyru z pomocne skoly a mozna i Frantu z kravina. To by mohlo fungovat leda na stroji, ktery nema zadnou konektivitu a pokud mozno ani monitor, aby si nekdo nesjel kamerou hexadump systemu pro OCR.

r23

Re:Restrikce nabootováné systému na specifický HW
« Odpověď #6 kdy: 03. 12. 2014, 00:53:57 »
Nedávno jsem tu někomu doporučoval bezpečnostní karty od GO-Trust, to může být také řešení.

chladic

Re:Restrikce nabootováné systému na specifický HW
« Odpověď #7 kdy: 02. 01. 2015, 15:51:03 »
Dakujem vsetkym za podnety. Nakoniec sme zvolili uplne inu cestu a zabezpecili radsej aplikaciu nez system

František Nedokončený

Re:Restrikce nabootováné systému na specifický HW
« Odpověď #8 kdy: 02. 01. 2015, 20:20:45 »
To zní zajímavě, mohl by jste být prosím trochu konkrétnější? :-)
Myslím, že by jste tím obohatil nejen ty, kteří budou někdy v budoucnu řešit podobný problém.. :-)

muhehe

Re:Restrikce nabootováné systému na specifický HW
« Odpověď #9 kdy: 02. 01. 2015, 21:36:23 »
jak dlouho trvalo od zruseni podpory linuxu na PS3, nez se objevil prvni PS3 jailbreak modchip? matne vzpominam, ze to bylo min nez pul roku.

muhehe

Re:Restrikce nabootováné systému na specifický HW
« Odpověď #10 kdy: 02. 01. 2015, 21:39:34 »
tpm ani secureboot neresi pozadovane zadani:
- duvera dodavatele zakaznikovi

ale resi misto toho
- duvera zakaznika ve spousteny system

muhehe

Re:Restrikce nabootováné systému na specifický HW
« Odpověď #11 kdy: 02. 01. 2015, 21:45:14 »
dozorci pracujici pro otrokare, spolu s otrokarskym systemem je dosavadni nejdokonalejsi technicky zvladnute reseni pozadovane tazatelem.

mkub

Re:Restrikce nabootováné systému na specifický HW
« Odpověď #12 kdy: 02. 01. 2015, 23:26:32 »
Zdravim vsetkych,

uz dlhsie sa zaoberam jednou ulohou, ktoru neviem vyriesit.
Chcem spravit instalaciu linuxoveho systemu s cryptovanym root FS, tak aby sa nemuselo zadavat heslo pri boote.

Cize vysledok je taky ak dam niekomu nainstalovany system s celym HW, tak si ho nemoze nijak skopirovat, ani pozmenit.
Jedna moznost ma napadla kluc k odcryptovaniu root FS naviazat na motherboard ID + HDD ID a hodit do do kernelu, pretoze
v initrd to je jednoduche vidiet a zmenit. Netusim ale ako nieco take realizovat.
Dalsia moznost bola projekt coreboot, ale v nom som nenasiel riesenie na tento problem.

Napada niekoho nieco, ako to riesit ?

dakujem za kazdy podnet
Rast'o

tym, ze vytvoris neupravitelnu distribuciu porusujes automaticky GNU licenciu, ktora hovori, ze ziadny projekt zalozeny na GNU licencii by sa mal riadit touto licenciou, alebo kompatibilnou (dost zjednodusene)
a okrem toho, ak /root zasifrujes, tak potrebujes v initrd si popridavat ovladace k vsetkym zariadeniam, ako aj si v nom vytvorit malinky rood particiu, kde by sa vsetko potrebne spustilo a nasledne initrd by pripojil uz zasifrovanu particiu...
a root particiu nedoporucujem sifrovat a pokial chces sifrovat, tak by si si mal vytvorit zvlast particie pre sifrovane data (napr. pre /var, /home, a adresare /, /bin /sbin a pod... tie su zbytocne sifrovat, ako aj /boot, kde su ulozene jadro, samotny initrd,... by sa nemal sifrovat