Adott a préri közepén egy magánhálózat egy adatgyűjtő linux szerverrel. Az adatokat titkosított volumon tárolja. Emberi felügyelet nélkül működik. Internet hol van, hol nincs.
Hogyan lehet azt megcsinálni, hogy ha helyben újraindul a gép akkor felcsatolja a titkosított volumot, ha viszont elmozdítják (pl: ellopják és máshol helyezik üzembe) akkor ne. Még akkor se ha egy linuxguru kezébe kerül.
Kézenfekvő egy eldugott segédszerver alkalmazása, amin a kulcs van a volumhoz, de hátha van valami jobb ötletetek.
- 11562 megtekintés
Hozzászólások
Mobil térerő van? Ha igen, küldjön a gép e-mail-t/SMS-t, mikor újraindul, s távolról felcsatolod.
- A hozzászóláshoz be kell jelentkezni
Elvileg van, de az emberi tényezőt ki kell zárni. Naponta háromszor indul be szerver az adatgyűjtés időtartamára, egyébként áll a hatékony energia felhasználás miatt. Áram csak napelemekből van.
- A hozzászóláshoz be kell jelentkezni
GSM cella infó alapján eldönti a gép, hogy elmozdították-e. Esetleg a GSM cella infó is a kulcs része.
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni
"felcsatolja a titkosított volumot,"
A titkosításhoz egy kulcs sem árt. Amint letárolod a gépen, már nem titkos. Sakk-matt-katt ;)
Ergo titkos akkor marad, ha nem automatizált, kell a kézi beavatkozás mindenképpen.
- A hozzászóláshoz be kell jelentkezni
vagy aszimetrikus kulcspár publikus részét használod a titkosításhoz.
A privát kulcsot nem kell letárolni a gépen.
- A hozzászóláshoz be kell jelentkezni
Ezzel az a baj, hogy nem tudod teljes FS titkositasra hasznalni, mert ott vissza is kell olvasni a file-ok metaadatait.
Korabban en is az aszimmetrikus titkositast irtam, de azt csak a meresi eredmenyek file-jara tudod raereszteni, es a kerdezo azt irta, hogy nem akarja fejleszteni a rendszeruket, csak alapakolni egy titkosito reteget. Ez pedig megoldhato plusz kodolas nelkul, a legtobb disztro szallit ilyet.
--
Why did the chicken cross the road?
It was trying to get a signal on its iPhone 4.
- A hozzászóláshoz be kell jelentkezni
Ja, OK, azt nem láttam, hogy nem akarjuk fejleszteni a rendszert.
Bár mondjuk mennyiből tartana esetleg beállítani egy cron jobot (vagy bármi más megoldást), ami a fs-re letett fájlokat titkosítja?
- A hozzászóláshoz be kell jelentkezni
inotify pl
- A hozzászóláshoz be kell jelentkezni
-1 Hint: race condition.
- A hozzászóláshoz be kell jelentkezni
Az kizárt, hogy a helyszínen buherálják, azaz végignézzenek egy sikeres nyitást?
Mert akkor kb esélyed nincs. :)
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1.
- A hozzászóláshoz be kell jelentkezni
++++++1
- A hozzászóláshoz be kell jelentkezni
valami RFID-s memoria chip lebetonozva, ami tarolja a kulcsot?
- A hozzászóláshoz be kell jelentkezni
Like :)
Secu szempontból ugyan nem százas, de legalább olyan meglepő a tolvajnak, mint autóban egy egyedi bekötésű üzemanyagszelep
- A hozzászóláshoz be kell jelentkezni
Olyat nem lehet csinalni, hogy az adatokat egy titkositott logba irja, minden mas meg titkositatlan? Ha a naplot nem kell visszafejteni a gepen, akkor hasznalhatsz nyilt kulcsu titkositast is, es a meresi eredmenyeket a fogado oldal privat kulcsaval tudod csak dekodolni, amit a puszta kozeperol nem lehet ellopni.
--
Why did the chicken cross the road?
It was trying to get a signal on its iPhone 4.
- A hozzászóláshoz be kell jelentkezni
^^ Ez eddig az egyetlen jo megoldas.
- A hozzászóláshoz be kell jelentkezni
Nekem is ez tetszik.
- A hozzászóláshoz be kell jelentkezni
Igen.
Az a gond, hogy a kérdés egy adott technikai megvalósítás biztonságosabbá tételéről szólt, miközben nincs garancia arra, hogy valóban ez a technikai megvalósítás a legjobb.
Az első lépés az lenne, hogy az egész rendszer céljait kell feltérképezni / definiálni, és a célok ismeretében lehet elgondolkodni technikai megvalósításon.
- A hozzászóláshoz be kell jelentkezni
Itt az automatikus indulás igénye a bizonytalan internet mellett az Achilles-sarok.
Így lenyúlás után csak idő kérdése az indulás utáni folyamatok feltérképezése, és törése.
Ha jól értem, mérők viszont vannak. Ha ezek elég intelligensek ahhoz, hogy szétszórható legyen rajtuk (redundanciával) a kulcs, akkor ezt tenném. Mount előtt egy processz összeszedegetné a kulcsot.
Csak nehezebben lopnak el egy egész alrendszert, mint egy szgépet.
- A hozzászóláshoz be kell jelentkezni
A GPS pozíció a titkosított volume kulcsa? :) (Valamilyen pontossággal)
--
The Community ENTerprise Operating System
- A hozzászóláshoz be kell jelentkezni
Az alapgondolat nem volna rossz, ha nem kellene azzal számolni, hogy se a lemez, se a bootolás nem lehet jelszóval védve.
Így a kíváncsi tolvaj megáll a telefonjával a gép mellett, leolvassa a koordinátákat, elcsomagolja a gépet és otthon kisakkozza, hogyan tudja megetetni az ellenőrző processzt a pozícióval.
- A hozzászóláshoz be kell jelentkezni
Ki kell tudni nyitni helyben? (Pontosabban: ki kell tudni nyitni, mikor nincs ott senki, akinél lehet valami ami kinyitja?)
- A hozzászóláshoz be kell jelentkezni
Köszönöm az ötleteket.
Nekem is az adatok titkosított írása lenne a legszimpatikusabb, de ez most nem kivitelezhető, mert az egész rendszert újra kellene tervezni és írni.
Attól nem kell tartani, hogy a helyszínen nyomják fel a gépet, nem az adatokért mennek hanem az alamíniumért. Az lenne a cél ha elviszik a gépet akkor ha pl. véletlenül hozzátok kerül a hdd ne tudjátok megnézni a tartalmát.
Egyenlőre marad a belső hálón az eldugott kulcs. Bebetonoztatok valami poe-s miniroutert :) .
- A hozzászóláshoz be kell jelentkezni
"Nekem is az adatok titkosított írása lenne a legszimpatikusabb, de ez most nem kivitelezhető, mert az egész rendszert újra kellene tervezni és írni."
Ezt nem ertem. A titkositas egy _reteg_ az alkalmazas alatt, amit az OS lekezel, ehhez nem kell mindent ujratervezni, csak titkositani a lemezt es megoldani, hogy boot idoben a kulcs elerheto legyen.
- A hozzászóláshoz be kell jelentkezni
Most, hogy így mondod elgondolkodtam rajta. Mindenesetre a mikor összedugtuk a fejünket a fejlesztőkkel és vezetőséggel a titkosított volume mellet döntöttünk.
Egyébként azóta már készen van. Crypsetup titkosítja a volumot, lokálhálón eldugott (majdhogynem befalazott) RB532 OpenWRT-vel pedig a kulcsot. Semmi egyéb cifraság, a kulcs is sima wget-tel jön. Mint korábban is írtam, nem a helyi babrálástól kell tartani, és nem is célzott adatlopástól, hanem azt kellet kizárni, hogy ha elviszik a gépet - mert értékesíthetőnek néz ki - ne kerülhessen illetéktelen kezekbe a rajta lévő adat.
- A hozzászóláshoz be kell jelentkezni
Gpg-vel betitkosítod, ha elviszik, a privát kulcs nélkül nem kerül illetéktelen kezekbe.
A privát kulcsnak nem kell a telephely közelében se lennie, csak ott és akkor kell, amikor valaki olvasni akarja.
- A hozzászóláshoz be kell jelentkezni
Csak kiváncsiságból, mit mérsz, ami ennyire titkos? :)
- A hozzászóláshoz be kell jelentkezni
AJHgljhSKJQÉknnSKQJ:WnkjsKQJLKJnkJQS - Hopp úgy néz ki rossz kulcsot töltöttem be a válaszhoz :) .
- A hozzászóláshoz be kell jelentkezni
Titkosított fájlrendszer, felcsatoláskor remote szerverről kulcs lekérése, azonosítás után, azonosítás kompromittálódjon, ha a házat megbontották vagy megmozdult (szenzorokból jel), titkosított terület csak addig legyen felcsatolva, amíg az írás megtörténik.
--
Coding for fun. ;)
- A hozzászóláshoz be kell jelentkezni
A mért adatokat kell védeni, vagy magát a mérési eljárást, alkalmazást is?
- A hozzászóláshoz be kell jelentkezni
Az eddigi hozzászólásokat olvasva, az nem játszik, hogy bebetonozzátok a gépet 7 lakat mögé? Vagy a földbe mélyített rejtekhelyre?
- A hozzászóláshoz be kell jelentkezni
Akkor már a kensington zárba egy biztosítószeg? :)
- A hozzászóláshoz be kell jelentkezni
kíváncsi lennék, hogy milyen adatokat gyűjt, az egész leírás nagyon rejtelmes...
- A hozzászóláshoz be kell jelentkezni
Én is érdeklődtem, de nem kaptam választ :)
- A hozzászóláshoz be kell jelentkezni
Az ediggiekből egy tanyai tojáskeltető adataira tippelnék. :)
- A hozzászóláshoz be kell jelentkezni
Tippre egy golyo helyzetet vizsgalhatja, es azt naplozza:
http://hup.hu/node/133755
--
Is that a banana in your pocket, or are you just happy to see me?
Neither, it's my new iPhone.
- A hozzászóláshoz be kell jelentkezni