私のヘッドレスLinuxボックスはシリアルコンソールで構成されています。 /etc/default/grub
:
GRUB_CMDLINE_LINUX="console=tty0 console=ttyS0,115200"
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --unit=0 --speed=115200"
今...シリアルコンソールを暗号化したいです。私の目標は、特定のエンドデバイス(特定の暗号化キーを持つノートブック)でのみシリアルコンソールを使用できるようにすることです。
これを実行できるツール/ターミナルエミュレータはありますか?
COM1に送信する前にシリアル出力を暗号化するようにGrubを設定する方法はありますか(またはユーザーが指定した暗号化アプリケーションを介してパイプしますか?)。
公開 - 秘密鍵交換メカニズムは必要ありません。まず、プライベート暗号化キーを使用してリンクの両端を事前設定するだけで十分です。
答え1
ハードウェア保持
シリアルポートトラフィックを暗号化する必要があると指定したため、ソフトウェアはこれを実行できません。前にオペレーティングシステムが起動しました。またカーネルコンソールI / O暗号化(アプリケーションI / Oだけでなく/dev/console
)。
デフォルトでは2つのボックスがあります。 1つはリモートシステムに直接接続され、もう1つはノートブックに直接接続され、2つのボックス間のシリアル通信は暗号化されます。
これを行うことができるハードウェアベンダーがたくさんあります。 DCBのSSE-Rシリアルデータ暗号化ランダム選択の一例にすぎません。セクション1を参照してください。取扱説明書両端に共有秘密を入力する方法については、セクション5の図を参照してください。
人々は暗号化モデムを購入することもできます。また、Arc ElectronicsのSM-56暗号化されたセキュアダイヤルアップモデムランダム選択の一例にすぎません。しかし、あなたの質問によると、コンピュータ間でモデムとPSTNを使用しません。
これはリモートデータ収集/制御の分野でよく見られることであり、この分野の文献は有益です。これに依存していることに注意してください。物理安全です。そうしないと、攻撃者が暗号化ボックスを取り外すか、ラップトップから暗号化ボックスを盗む可能性があるためです。
イーサネットと IP を使用して、このタイプのシリアルトラフィックを送信することもできます。「ターミナルサーバー」、別名「シリアルサーバー」、これは別のハードウェアです。 (やはり、OSが起動する前にこれを要求するため、ソフトウェアの「仮想シリアルポート」は除外されます。)しかし、質問にはLAN / WANを介したリモートアクセスを意図するという指示はありません。
私はそれがこの答えの範囲を超えていると思います。深刻なそして、リモート帯域外(「ライトアウト」とも呼ばれる)管理の世界に入ります。 ☺
追加読書
- ウィリアムT.ショー(2006)。 「電子/システムセキュリティ」。 SCADAシステム用のサイバーセキュリティ。ファンウェルブックス。 ISBN 9781593700683.
- ベトラー、アン(1999)。Novell NetWare(4.11)を使用したデータ通信の紹介。フレンティスホール。 ISBN 9780132705707。
- ジョナサンデボインポラード(2018)。 」Linuxコンソール」。 装備。 Nosh ツールセット。