저는 Debian을 실행하는 BeagleBone Black 보드를 사용하고 있습니다.
내 의도는 emmc 내에 개인 키를 저장하기 위해 별도의 암호화된 파티션을 만드는 것입니다. 이 키는 SSL 통신에 사용됩니다. 물론, 주요 목적은 누구도 읽을 수 없도록 열쇠를 안전하게 보관하는 것입니다. TPM이나 HSM을 사용하는 것이 올바른 솔루션이라는 것을 알고 있지만 TPM이나 HSM 없이 작업을 수행하고 키를 일반 플래시 메모리에 저장할 수 있는지 확인하고 싶었습니다.
별도의 파티션이 필요한 이유는 때로는 한 파티션의 현재 이미지를 덮어써서 장치의 Linux OS를 완전히 업그레이드하고 싶기 때문입니다. 이런 방식으로 저장된 개인 키에 영향을 미치고 싶지 않으며 새 OS는 별도의 파티션에 있는 마지막 키와 동일한 방식으로 키에 액세스할 수 있어야 합니다. 이것이 이것을 처리하는 일반적인 방법입니까?
dm-crypt가 이 문제를 해결할 수 있나요? 그러나 나는 이것이 낮은 수준에서 어떻게 작동하는지 이해하지 못합니다. 새로운 Linux 운영 체제가 이전 Linux 설치와 마찬가지로 개인 파티션의 암호를 해독할 수 있습니까? 누군가가 장치를 해킹하는 경우 내 개인 키를 해독하고 볼 수 없게 하려면 어떻게 해야 합니까?
답변1
암호화 기술은 DAR(미사용 데이터)을 보호하는 데 매우 효과적입니다. 그러나 데이터가 해독되면 최소한 해독을 수행한 사용자와 루트 사용자가 데이터를 사용할 수 있습니다.
귀하의 질문과 관련하여 암호화된 저장소가 어떤 용도로 사용되는지 명확하지 않습니다. 키 자료를 장기간 보관하는 것이 목적이라면 암호화된 저장 위치가 적합합니다. 그러나 이러한 저장소는 오프라인으로 유지하는 것이 가장 좋습니다. 이것을 냉동이라고 합니다.
TLS 개인 키를 저장하겠다고 표시하셨습니다. 그러나 TLS 키는 온라인으로 유지되어야 하며 대부분의 경우 메모리와 활성 파일 시스템에 보관되어야 합니다. 그렇다면 여기서 의문이 쌓이기 시작합니다.
키와 함께 자체 서명된 루트 인증서를 생성하면 문제가 더 명확해집니다. 이러한 시스템의 개인 키는 오프라인으로 암호화된 콜드 스토리지에 보관해야 합니다.
추가 자료: