헤드리스 임베디드 장치의 민감한 데이터를 안전한 방식으로 암호화하는 것이 가능합니까?

헤드리스 임베디드 장치의 민감한 데이터를 안전한 방식으로 암호화하는 것이 가능합니까?

우리 회사는 모든 데이터(운영 체제, 소프트웨어 등)가 SD 카드에 저장되는 Raspberry Pi를 사용합니다. 우리는 이러한 장치를 구성하고(소프트웨어를 로드) 현장(우리가 통제할 수 없는 환경)으로 보냅니다. 이 Pis에는 민감한 데이터가 있으며 현장의 누군가가 Pis를 가져가 이러한 민감한 데이터에 액세스할까봐 걱정됩니다.

중요한 데이터를 SD 카드에 저장하지 않고 보안 네트워크를 통해 스트리밍하는 확실한 솔루션은 우리에게는 효과가 없었습니다. Pi가 항상 인터넷이나 다른 종류의 네트워크에 액세스할 수 있는 것은 아닙니다.

또 다른 확실한 해결책은 데이터가 저장되는 파티션을 암호화하는 것이지만 이는 어려운 일입니다. Pi는 런타임에 이 민감한 데이터에 액세스할 수 있어야 합니다. 즉, 사용하는 암호화 유형에 관계없이 Pi는 부팅 시 암호화된 파티션의 암호를 해독할 수 있어야 합니다. 즉, 본질적으로 결함이 있는 비암호화 파티션에 저장된 일종의 암호 해독 키가 필요하다는 의미입니다. 공격자는 쉽게 키에 액세스하여 이를 사용하여 암호화된 파티션의 암호를 해독할 수 있습니다.

이 문제를 해결할 수 있는 일부 하드웨어 솔루션(예: Zymkey)이 있습니다. 우리는 노력했고,Zymkey를 키로 사용하여 암호화된 루트 파티션에 침입하는 데 5분 이상이 걸렸습니다.. 문제는 루트 파티션을 암호화할 수 있더라도 부팅 시 커널과 매개변수를 커널에 전달하는 파일을 저장하는 부팅 파티션을 암호화할 수 없다는 것입니다. 이를 통해 공격자는 부팅 시 커널에 셸을 실행하도록 요청하여 공격자에게 암호화된 루트 파티션에 대한 전체 액세스 권한을 부여하는 등 부트로더 파일을 수정할 수 있습니다.

자체 사용자 정의 커널을 컴파일했지만 매개변수를 허용하지 않아 부팅 매개변수가 공격자에게 셸을 제공하지 못하게 하는 경우에도 사용자 정의 커널은 공격자가 액세스할 수 있는 /boot 파티션에 저장됩니다. 맞춤형 코어를 일반 코어로 교체하는 것을 막을 수 있는 방법은 없습니다.

일부 하드웨어 솔루션을 구성하고 SD 카드를 접착하거나 Pi를 부비 트랩 상자에 넣어 누군가가 상자를 열려고 하면 암호화 키를 제거하고 파티션 암호화를 제거(또는 재부팅)할 수 있다는 것을 알고 있습니다. ). 이는 상대적으로 우회하기 쉽고 기껏해야 해키입니다.

그래서 내 질문은 다음과 같습니다. 개념적으로 전체 루트 파티션을 암호화하거나 민감한 파일을 저장할 수 있는 데이터 파티션 중 일부만 암호화하여 공격자가 SD 카드를 손에 넣는 경우 더 이상 암호화할 수 없도록 하는 것이 가능합니까? 파일 자체를 얻으려면? Linux는 실행 중에도 이러한 파일을 해독하고 사용할 수 있어야 합니다.

답변1

최소한의 물리적 보안 없이는 민감한 데이터를 보호할 수 없습니다. Raspberry Pi에는 물리적 보안이 없습니다. 변조 방지 상자에 넣거나 변조 방지 기능이 내장된 다른 하드웨어를 사용해야 합니다.

예, 비용이 더 많이 듭니다. 보안은 일반적으로 대가를 치르는 기능입니다.

에서 보낸 알림당신이 인용한 포럼 게시물Raspberry Pi의 보조 장치로만 작동하는 Zymkey는 아무것도 보호할 수 없습니다. Pi 자체에 대한 물리적 보호도 필요합니다.

보안 부팅 기능이 있는 단일 보드 컴퓨터가 작동해야 합니다. 특별히 추천해드릴 모델은 없습니다. 분명 그것도 괜찮아라즈베리 파이에 TPM 설치;이렇게 하면 보안 부팅이 제공되지 않지만(코드를 실행하기 전에 코드가 확인되지 않음) 확인 부팅이 제공됩니다(코드가 예상되지 않으면 TPM에서 키를 검색할 수 없습니다). 어느 쪽이든 이는 SD 카드 교환과 같은 소규모 물리적 공격에 대해서만 보호하며 RAM 버스에 논리 프로브 삽입과 같은 더 침입적인 공격에 대해서는 보호하지 않습니다.

답변2

이를 위해 암호화된 파일을 애플리케이션이 파일을 저장하는 저장소로 사용하여 LUKS를 사용할 수 있습니다.

암호화된 볼륨을 사용하려면 다음을 수행해야 합니다.

  1. 암호화된 LUKS 볼륨을 엽니다.
  2. 애플리케이션에서 사용할 마운트 지점에 암호화된 볼륨을 마운트합니다.

끝나면,

  1. 볼륨 마운트 지점을 마운트 해제합니다.
  2. 암호화된 LUKS 볼륨을 닫습니다.

아래 링크된 게시물에서는 필요한 단계를 다룹니다.

Linux에서 암호화된 파일 볼트 생성

답변3

과거에도 비슷한 문제가 발생했습니다. 완벽한 해결책은 없을 것으로 예상합니다. 침입자가 시스템 침입에 투자하려는 시간과 상황을 어렵게 만드는 데 투자하는 시간에 따라 많은 것이 달라집니다. 확실히 100% 안전한 해결책은 없습니다. Zymkey 솔루션은 정말 깔끔하지만 프로젝트에 따라 비용이 많이 들고 어떤 경우에는 그다지 효과적이지 않을 수도 있습니다.

이것이 제가 한 일이며, 고객의 요청에 충분했습니다.

  1. 모든 암호화된 데이터를 포함하는 숨겨진 볼륨을 생성합니다(읽기 전용으로 설정하고 가능하면 한 번 읽어 속도를 향상시키십시오. 암호화된 볼륨은 매우 느립니다. 자주 액세스하거나 수정하는 데이터에는 사용하지 마십시오). 제 경우에는 저장된 코드를 한 번만 읽습니다.
  2. 몇 가지 확인을 수행하는 명령을 만든 다음 볼륨을 마운트합니다. C와 같은 저수준 언어를 사용하십시오(예, 저도 알고 있습니다. 조금 어렵지만 올바르게 수행하면 침입자가 디스어셈블러나 커널 디버거를 사용하게 됩니다).
  3. 컴파일 시 모든 기호 숨기기
  4. 모든 문자열은 매우 복잡한 알고리즘을 사용하여 난독화됩니다. (문자열에는 비밀번호, 파일 이름, 외부 명령 등이 포함되며 기본적으로 모든 것)
  5. 난독화된 문자열 암호화(나는 libtomcrypt를 사용하고 있습니다)
  6. 모든 문자열이 보이지 않는지 확인하십시오(strings 명령 사용).
  7. 유효한 함수 사이에 무작위 및 복잡한 수학 함수를 삽입하여 분해를 복잡하게 만듭니다.
  8. 이 명령은 외부 명령을 실행하여 여러 인증 변수가 필요한 암호화된 파일 시스템을 탑재합니다.
  • PI의 고유 일련번호(/proc/cpuinfo)를 사용하십시오.
  • 다른 카드(또는 PI)와 함께 SD 카드의 일련 번호를 사용하십시오.
  • 명령을 사용하여 동적으로 생성된 일부 추가 파일
  • dos 파티션(start.elf, kernel.img)에 있는 파일의 체크섬 사용
  • 루트 비밀번호가 변경되지 않았는지 확인하세요.
  • 귀하의 환경에 더 적합할 수 있는 시간대, 운영 체제 버전 및 운영 체제의 기타 측면을 확인하십시오.
  • 어떤 유형의 네트워크 액세스(로컬만이라도)가 있거나 이에 연결된 특정 장치가 있는 경우 해당 장치가 존재하는지 확인하세요.
  1. 파일은 메모리에 생성, 마운트, 삭제되어야 합니다.
  2. 비밀번호는 ps/top/htop에 표시되지 않도록 환경 변수로 전달되어야 합니다.
  3. 기본적으로 이러한 모든 조건이 충족되지 않으면 명령이 실행되지 않습니다.

이러한 검사가 모두 정확하면 명령이 볼륨을 마운트합니다. (명령 실행을 시스템 서비스로 추가합니다). 사용하지 않을 잘 알려진 서비스를 설치하고 실행 파일을 새 명령으로 바꾸십시오. 다른 서비스에 대해 실행되는 스크립트의 명령을 숨길 수도 있습니다.

시간은 좀 걸렸지만 C의 옛날을 회상하는 재미가 쏠쏠했습니다. C 명령 코드를 침입할 수 있는 방법은 분명 있지만, 침입자는 며칠 밤을 새워 잠 못 이루게 될 것입니다. 내 경우 고객은 다른 사람이 SD 카드를 복사하는 것을 피하고 싶었고 이는 우리에게 잘 작동했습니다.

관련 정보