Vzdálené odemykání LUKS partitiony a bezpečnostní rizika

[JardaP .]

Dobře, v tom máte pravdu, ale já to nemůžu dát k sobě na server, protože potřebuju, aby jim to fungovalo i bez internetu... :/
Tak já už nevím...Leda ten python překompilovat nějak.

Tak vam zbyva leda nejaka tezka obfuskace a sifrovani kodu ve stylu Skype. Klic k LUKSu by byl zasity primo v aplikaci a jeho dobyti by byl takovy opruz, ze se na to radsi vetsina lidi vykasle.

[Reklama]

[Mirek Prýmek]

Dobře, v tom máte pravdu, ale já to nemůžu dát k sobě na server, protože potřebuju, aby jim to fungovalo i bez internetu... :/

Jak "fungovalo bez internetu"? Vždyť jsi říkal, že se má LUKS otevřít přes ssh. To jako to zařízení bude chvilku na netu a pak (bez ztráty napájení!) odpojeno?

Tak já už nevím...Leda ten python překompilovat nějak.

A jsme zase u toho: ujasni si, co chceš chránit a proti komu. Chceš chránit kód aplikace? Tak ji hlavně nepiš v pythonu! Nebo chceš chránit nějaký ty data (databázi)?

Hele, pokud s tím chceš fakt poradit, tak napiš naprosto polopaticky, co ta aplikace dělá, kdy je připojená k netu, kam ukládá data, co je v datech/binárkách citlivého, proti komu to chceš chránit. Jinak se tady budeme honit jak kočka s myší pořád dokola...

(Už teď je i tak docela jasné, že nejrozumnější by bylo se na pokus o ochranu vykašlat, jak radí kolegové, ale třeba se přece jenom nějaký rozumný kompromis najde, když situaci pořádně a polopaticky popíšeš)

[Darkhunter]

Při startu RPI je potřeba internetu, ale pak může klidně vypadnout.
No my chceme automatizovat hospody a restaurace atd.
Máme tam pár věcí, které chceme dát placené, ale jako základ chceme dát zadarmo základní balíček víceméně jen čistě EET.
Tudíž s našemi servery to komunikuje v případě záloh toho raspberry nebo při komunikaci, jakou má zákazník licenci.
Poté také na našich serverech jsou určité části pro manažery podniku, když není zrovna ve vnitřní síti rpi.
Jinak všechen backend jede na djangu na raspberry. Nám jde o to, aby si člověk sám neodemkl plnou licenci jentak a samozřejmě, aby neukradli kód, ale není to nějaký extra terno. Tudíž chceme to raspberry zabezpečit aspoň proti klasickým uživatelům - barmanům atd. Dále chci mít co nejvíce zabezpečená data databáze, protože přecijen jsou to soukromé věci toho podniku.

[Filip Jirsák]

Máme tam pár věcí, které chceme dát placené, ale jako základ chceme dát zadarmo základní balíček víceméně jen čistě EET.

Pokud vím, tak EET nemůže být trvale bez internetu. Jsou tam záložní postupy, jak řešit, když internet zrovna nejde, ale u obecně musíte počítat s tím, že zařízení bude připojené k internetu a jen ve výjimečných případech se odpojí, ne že nebude připojené k internetu a jen ve výjimečných případech se připojí.

Nám jde o to, aby si člověk sám neodemkl plnou licenci jentak a samozřejmě, aby neukradli kód, ale není to nějaký extra terno. Tudíž chceme to raspberry zabezpečit aspoň proti klasickým uživatelům - barmanům atd.

Barmany, kteří vám budou hackovat Python, bych klidně zanedbal. Až na nějakého takového narazíte, tak ho prostě zaměstnejte u vás - on si výrazně polepší, a vy vyřešíte problém s nelicencovaným použitím.

Dále chci mít co nejvíce zabezpečená data databáze, protože přecijen jsou to soukromé věci toho podniku.

To ale nemůžete zabezpečovat tak, že to vy budete otevírat nějakým klíčem na dálku. K těm datům byste neměli mít v ideálním případě přístup ani vy, naopak ten podnik by k tomu měl mít přístup. Šifrujte to bezpečným heslem nebo klíčem, který bude znát jenom ten podnik - zadá ho při startu, nebo ho tam třeba vloží nějaký USB token, nebo se odněkud naskenuje (záleží na tom, co tam máte k dispozici za hardware a jak se s tím zachází).

[Darkhunter]

Já si četl specifikace a vím, že je tam nějaký buffer. My to chceme ovšem i pojistit 4G modemem. Řeknu to takhle. Jsou tam další věci krom EET, které prostě musí běžet na raspberry, protože raspberry je k nim připojeno přímo přes GPIO.

S tím zabezpečením databáze nevím. My tam mít přístup ani nechceme, ale když se stane nějaký problém a oni se na nás obrátí, tak bychom měli mít přístup všude, abychom to mohli co nejrychleji vyřešit.

[Reklama]

[JardaP .]

S tím zabezpečením databáze nevím. My tam mít přístup ani nechceme, ale když se stane nějaký problém a oni se na nás obrátí, tak bychom měli mít přístup všude, abychom to mohli co nejrychleji vyřešit.

Hm. A jak to mate zabezpecene proti ztrate dat? Ta data jsou na cem? Na SD? To muze kdykoliv bez varovani odejit. Je nekde kopie, kdyz u vas na serveru zretelne ne?

Pokud vím, tak EET nemůže být trvale bez internetu. Jsou tam záložní postupy, jak řešit, když internet zrovna nejde, ale u obecně musíte počítat s tím, že zařízení bude připojené k internetu a jen ve výjimečných případech se odpojí, ne že nebude připojené k internetu a jen ve výjimečných případech se připojí.

Aha, to jako vazne? Takze stankari si budou muset poridit mobilni Internet, aby mohli prodavat burty?

[Mirek Prýmek]

Jinak všechen backend jede na djangu na raspberry. Nám jde o to, aby si člověk sám neodemkl plnou licenci jentak a samozřejmě, aby neukradli kód, ale není to nějaký extra terno. Tudíž chceme to raspberry zabezpečit aspoň proti klasickým uživatelům - barmanům atd. Dále chci mít co nejvíce zabezpečená data databáze, protože přecijen jsou to soukromé věci toho podniku.

No ale to je úplně jiná situace, než jak jsi to doteď popisoval

Takže chcete, aby se zákazník nedostal k funcím, které nemá licencované - na to je snadná odpověď: prostě mu je tam neinstalujte. A když si zaplatí, vzdáleně je tam nahrajete. Problem solved.

A databázi chcete tímpádem chránit úplně jinak a proti úplně jiné hrozbě (jaké? Krádež dat po netu vámi? Třetí osobou? Fyzická krádež média s daty?) Asi bych souhlasil s kolegama, že není potřeba nic vymýšlet - prostě jenom heslo/token, které ví/má jenom personál.

[Filip Jirsák]

Aha, to jako vazne? Takze stankari si budou muset poridit mobilni Internet, aby mohli prodavat burty?

Můžou použít offline kódy a nahrát to večer z domova.

[Darkhunter]

Hm. A jak to mate zabezpecene proti ztrate dat? Ta data jsou na cem? Na SD? To muze kdykoliv bez varovani odejit. Je nekde kopie, kdyz u vas na serveru zretelne ne?

-Jednou denně se synchronizují data s naším serverem, pokud je raspberry připojeno na internetu, který není mobilní.

Pokud vím, tak EET nemůže být trvale bez internetu. Jsou tam záložní postupy, jak řešit, když internet zrovna nejde, ale u obecně musíte počítat s tím, že zařízení bude připojené k internetu a jen ve výjimečných případech se odpojí, ne že nebude připojené k internetu a jen ve výjimečných případech se připojí.

Aha, to jako vazne? Takze stankari si budou muset poridit mobilni Internet, aby mohli prodavat burty?
[/quote]
Přesně tak. Mám variantu s 4G modemem...

[Darkhunter]

Jinak všechen backend jede na djangu na raspberry. Nám jde o to, aby si člověk sám neodemkl plnou licenci jentak a samozřejmě, aby neukradli kód, ale není to nějaký extra terno. Tudíž chceme to raspberry zabezpečit aspoň proti klasickým uživatelům - barmanům atd. Dále chci mít co nejvíce zabezpečená data databáze, protože přecijen jsou to soukromé věci toho podniku.

No ale to je úplně jiná situace, než jak jsi to doteď popisoval

Takže chcete, aby se zákazník nedostal k funcím, které nemá licencované - na to je snadná odpověď: prostě mu je tam neinstalujte. A když si zaplatí, vzdáleně je tam nahrajete. Problem solved.

A databázi chcete tímpádem chránit úplně jinak a proti úplně jiné hrozbě (jaké? Krádež dat po netu vámi? Třetí osobou? Fyzická krádež média s daty?) Asi bych souhlasil s kolegama, že není potřeba nic vymýšlet - prostě jenom heslo/token, které ví/má jenom personál.

Jenže tam jde o to, aby člověk, který si extra služby zaplatí třeba na rok, je nemohl používat i po uplynutí doby. Jinak samozřejmě je tam instalovat nebudem, dokud to nebudou mít koupené.

[tektektek]

Taky lze použít nějaký HW klíč a do něj nahrát licenci. Aplikace nemá HW klíč -> režim zadarmo. Aplikace má HW klíč -> platná licence -> režim za peníze, jinak režim zadarmo.
Problém je ten, že málokdo chce platit na HW klíče.

[Mirek Prýmek]

Problém je ten, že málokdo chce platit na HW klíče.

Pokud je premisa, že to má být odolné jenom proti normálnímu laikovi, tak se dají udělat i všelijaké levné skopičiny simulující hw klíč - třeba licenční soubor rozšifrovávat pomocí sériového čísla libovolného donglu (klidně pidi bluetooth dongle za pár kaček).

[Mirek Prýmek]

Jenže tam jde o to, aby člověk, který si extra služby zaplatí třeba na rok, je nemohl používat i po uplynutí doby. Jinak samozřejmě je tam instalovat nebudem, dokud to nebudou mít koupené.

Tak to už je váš problém, že jste si zvolili (z hlediska správy licencí) nepraktický licenční model "my vám něco dodáme jednou, ale vy budete platit měsíčně". Kdybyste zůstali u klasického "platba za dodání nové verze" nebo teď modernějšího "platba za pronájem remote sw" (jak psal RDa), tak byste tenhle problém neměli.

[32bit]

Nechapu co resite, proste to napiste mdularne s managerem ktery bude odemykat jednotlive poduly podle toho jaky klic dodate. Nicmene podle meho je to zastarale a pomerne nestasne reseni.

[Darkhunter]

No a jak to udělat nějakým moderním řešením?