Самознищення: самостійно видаляйте всі дані на SD-картці за допомогою клаптиків, dd або іншого способу

11

Я буду використовувати Raspberry Pi в якості комп'ютера з повітряним зазором, щоб робити безпечні зашифровані транзакції на Ethereum BlockChain.

Раз у раз я захочу оновити програмне забезпечення, яке я використовую, що означатиме виймання SD-карти з Pi та вставлення її в портативний комп'ютер, підключений до Інтернету. Я хотів би скористатися деякою утилітою програми або командного рядка на Pi, щоб безпечно стерти все на SD-картці перед тим, як видалити її, оскільки це виключить всю можливість зчитування конфіденційної інформації з SD-карти поганими учасниками, що, можливо, зірвало мій ноутбук.

Наступна команда, введена на пі-терміналі, передає ідею того, що я сподіваюся виконати: 

shred --verbose *.*
sd-card  security 
Джон Ширінг
джерело
5
У чомусь ви зачиняєте двері сараю після того, як кінь втік. Для запису SSD-карти потрібно використовувати зображення диска, доступне в Інтернеті. Зловмисник міг (як це було зроблено раніше) створити вразливість і вставити її у завантажуване зображення. Ця вразливість може використати ваші валютні комбайни з першого дня. Щоб по-справжньому пропустити комп'ютер, він ніколи не може ділитися мережею або диском. Імовірно, ваш комбайн також отримає доступ до Інтернету для отримання робочого навантаження та повернення результатів, знову дозволяючи використовувати задовго до оновлення програмного забезпечення.
Стів Робіллард
3
Для справжньої безпеки весь ланцюг від постачання до знищення потребує захисту.
Стів Робіллард
4
Яким чином "повітряний" комп'ютер матиме доступ до ланцюга блоків?
Paŭlo Ebermann
2
Після завантаження програмного забезпечення пі більше не бачить нічого з Інтернету. Номери рахунків передаються на пі-пі, використовуючи QR-коди і перевіряються за допомогою блоків . Зашифровані вказівки щодо транзакцій передаються в блокчейн шляхом фотографування QR-коду, що відображається на сенсорному екрані пі за допомогою смартфона. Таким чином, у поганих акторів немає шансів отримати ключі на SD-картці, якщо я не підключуся до Інтернету після їх введення. Краще знищити SD і отримати інший під час оновлення програмного забезпечення. Потім введіть ключі
Джон Ширінг
2
@JohnShearing Чи запам’ятати парольну фразу в голові - це не варіант?
флешмок

Відповіді:

17

Оскільки на споживчих SD-картах використовуються найпотаємніші шари флеш-перекладу, і вони мають більшу ємність, ніж рекламується, щоб перезаписати погані блоки або для загального вирівнювання зносу, це неможливо через клаптик. Запис у файл може взагалі не закінчуватися там, де він зараз існує на диску.

У вас є чотири варіанти:

  • 1) Фізичне знищення.
  • 2) Подрібнюйте окремі файли і називайте це за день
  • 3) Використовуйте dd, якщо = / dev / zero of = / dev / mmcblk0, і називайте його щодня (Це було б досить безпечно для обертання жорстких дисків ...)
  • 4) Подрібніть все / весь вільний простір (наприклад, весь пристрій, як / dev / mmcblk0). Це дурно і ризиковано, оскільки споживчі SD-карти, як правило, переходять в апаратний режим лише для читання, коли їх надмірна ємність звикне, і всі файли стануть незмінними.

Щоб подібні проблеми не виникали знову, завжди використовуйте повне дискове шифрування з першого дня на SSD, SD-картах і мандрівниках . Оскільки ви поняття не маєте, чим займаються виробники обладнання, я пропоную для цього використовувати програмне забезпечення з відкритим кодом (LUKS, VeraCrypt).

пластівці
джерело
1
Привіт флейшоке, спасибі за освіту. З огляду на те, що ви пояснили - я збираюся йти просто. Я вважаю, що найкращим способом залишатися вірним простій ідеї, що "конфіденційна інформація ніколи не може торкатися машини, підключеної до Інтернету", - це знищити мою поточну SD-карту і купити нову, коли необхідні оновлення програмного забезпечення. Це забезпечить, що дані стікають лише з Інтернету, а не до них. Дуже дякую за вашу допомогу.
Джон Шерінг
2
Як було сказано, подумайте про використання повного дискового шифрування з першого дня. Навіть обертові жорсткі диски сьогодні можуть використовувати надмірне забезпечення.
флешовий коктейль
5
Великий +1 для повного шифрування диска - я думаю, саме так деякі "безпечні" жорсткі диски реалізують "захищену стерти", вони завжди використовують апаратне шифрування, тому просто викиньте ключ.
Xen2050
@JohnShearing Я не бачу, як оновлення потребують попереднього подрібнення. У будь-якому разі, Raspbian / Debians APT (apt-get) був розроблений ще в епоху компакт-дисків для оновлень - цей робочий процес все одно повинен бути доступний, якщо ви дійсно хочете, щоб дані
течали
Привіт флеш-коктейль, я використовую закритий pi, щоб утримувати приватні ключі та робити безпечні зашифровані інструкції для переміщення криптовалюти. Зашифровані інструкції передаються в Інтернет за допомогою QR-коду. Якби я вийняв SD-карту з пі та поклав її на інший комп’ютер, який підключається до Інтернету, я б не мав права заявляти, що мій пристрій перебуває в повітрі. І все-таки я налаштований дотримуватися ваших порад і розслідувати, чи буде ЛУК працювати над пі, лише якщо хтось викраде пі та принесе SD-карту в лабораторію з метою вилучення ключів від пі. Дякую за ідею.
Джон Ширінг
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.