Forum Linux.embarqué Sécuriser la SDCard d'un Raspberry PI4

Posté par  . Licence CC By‑SA.
Étiquettes :
1
2
juin
2023

Bonjour,

J'utilise plusieurs PI4 avec le système sur la SDCard sous forme d'un volume unique.

Mais je me pose une question sur la sécurisation de cette SDCard.
Car je prends la SD, je la monte sur un Linux quelconque et je peux bricoler dedans.
Niveau sécurité on a vu mieux.

Connaissez vous des solutions pour résoudre cette lacune ?

J'avoue que coté chiffrement et protection je suis néophyte alors je n'ai pas trop d'idée coté mise en œuvre d'une solution.

Chiffrer la SD me parait une piste mais comment faire en sorte que le contenu soit déchiffré automatiquement et sans que la clé soit sur la SD elle même ?

A vos avis :-)
Merci.

  • # TPM

    Posté par  . Évalué à 5.

    la solution est dans le module TPM
    mais je ne suis pas sur que ca existe sur RPi

    l'idée est de chiffré puis de stocker la clef dans le TPM qui est un composant hardware sur la machine

    du coup, si on retire le disque de la machine (ou la clef USB) le support devient indechiffrable sans 'casser' la clef

    bon du coup avec juste la SDcard du RPI, je ne vois pas trop
    au mieux tu auras le GRUB qui demande le mot de passe du volume chiffré, pour ensuite activer ce volume
    ou tu auras une 2e clef USB branchée sur la machine qui contiendra la clef pour ouvrir le volume chiffré

  • # Chiffrer

    Posté par  . Évalué à 2.

    Il est déjà possible de chiffrer le disque. Avec yunohost et la briqueinter.net c'était implémenté de façon sympa. Au boot un mini serveur web permettait de rentrer la clef et de lancer le système.

  • # Si sur réseau local

    Posté par  (site web personnel) . Évalué à 6.

    Tu peux avoir la clé de déchiffrement installée sur un serveur qui n'est accessible que sur le réseau local → si volé et démarré hors de ce réseau, le disque ne peut plus être déchiffré.

    Recherche Network Bound Disc Encryption (NBDE) + serveur tang — il y a des docs RedHat là dessus.

    Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

  • # Sécurité contre quoi ?

    Posté par  (Mastodon) . Évalué à 9.

    Niveau sécurité on a vu mieux.

    Est-ce que tu peux développer en disant de quoi tu veux te protéger ? Par exemple :

    • un cambrioleur qui lit les données sur la carte SD
    • un client qui bidouille le système que tu lui as vendu sur RPi
    • un hackeur Chinois du FBI qui à distance corrompt ton système

    Ça aidera à te donner des conseils.

    Et sinon ton soucis sur RPi et sa carte SD est le même pour 99,9% des ordis et leur SSD (sauf qu'il faut un tournevis).

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Sécurité contre quoi ?

      Posté par  . Évalué à 4.

      Et sinon ton soucis sur RPi et sa carte SD est le même pour 99,9% des ordis et leur SSD (sauf qu'il faut un tournevis).

      En mettant le RPi dans un boîtier fermé avec des vis, le problème d'absence de tournevis ne se pose plus.

    • [^] # Re: Sécurité contre quoi ?

      Posté par  . Évalué à 1.

      Déjà, si le système installé sur le Pi 4 était mentionné, cela éclairerait le choix des possibilités.

      • [^] # Re: Sécurité contre quoi ?

        Posté par  . Évalué à 2.

        J'ai l'impression que justement, le demandeur veut une solution "OS Agnostic" dans la mesure du possible.

        Celà dit, j'ai l'impression que mis à part le chiffrement des partitions, il n'y a pas grand chose de mieux à faire, et je ne pense pas que le Raspberry Pi soit si différent d'un autre type de machine sur ce point. MAis comme dit précédemment, la question est surtout de savoir de quoi le PI veut se protéger.

  • # Complément

    Posté par  . Évalué à 1. Dernière modification le 06 juin 2023 à 16:30.

    Merci de vos retours.

    La Distrib est une Raspbian.
    Il s'agit effectivement d'un équipement qui contrôle une machine à partir d'une électronique maison.

    Le but premier est d'éviter que quelqu'un accède aux fichiers.
    Mais il faut que ça boote tout seul … donc la solution saisie du mot de passe au boot n'est pas bonne.
    D'autre part, le souhait serait d'éviter le clonage de la SDCard. (Mais la plus compliqué).

    J'ai bien trouvé ça : https://www.swissbit.com/en/products/security-products/secure-boot-solution/
    Mais ça ne marche pas avec la clé USB sur le PI4.

    • [^] # Re: Complément

      Posté par  . Évalué à 3.

      je ne sais pas si cela va être possible simplement, tu prend l'adresse mac de ton pi + sha1 pour avoir la clé de chiffrement, et comme cela tu as tous sous la main

    • [^] # Re: Complément

      Posté par  (Mastodon) . Évalué à 5.

      Le but premier est d'éviter que quelqu'un accède aux fichiers.

      Une piste serait peut-être d'utiliser un module TPM pour stocker la clé de manière sécure et pouvoir booter automatiquement quand même ?

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Complément

      Posté par  . Évalué à 1.

      J'ai une solution, mais complexe à mettre en œuvre. L'idée, c'est en effet de chiffrer les partitions (avec dm-crypt) qui contiennent le système et les données sensibles. La clé pourra être stockée directement dans l'OTP de la Rasberry PI (c'est un espace de stockage qui une fois écrit ne peut pas être altéré).

      Il faut ensuite créer un initramfs spécial qui va lire la clé dans l'OTP pour l'utilisé ensuite avec dm-crypt.

      Avec cette solution les données sont chiffrées et ne peut lui que par la Raspberry PI et la Raspberry PI démarre toute seule.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.