暗号化されていないカーネルイメージとNAND Flashのinitramfsを含む組み込みLinuxシステムがあります。私のRootFSはSDカードにあります。
私のSDカードは物理的に簡単にアクセスできるので、SDカードの一部のファイルを暗号化したいと思います。
これにはeCryptfsを使用する予定です。
しかし、カーネルイメージやinitramfsにNANDフラッシュのキーを保存したいと思います。私のオプションは何ですか、SDカードの特定のファイルを保護する最良の方法は何ですか?
答え1
持っていない場合ファイルシステムの初期化、カーネルパラメータを使用してこれを実行できます。カーネルパラメータとして任意の文字列を追加し、それを/proc/cmdline
暗号化キーとして使用します。これらのパラメータをブートローダに追加するのが簡単ではない場合、LinuxカーネルにはCMDLINE
それをコンパイルするための設定オプションがあります。 (注:カーネルパラメータはログファイルなどに含めることができます。シナリオに適しているかどうかは、SDカードで実行/記録されている項目によって異なります。)
そしてファイルシステムの初期化もちろん、あなたが望むものは何でも自由にすることができます。起動時にパスワードを要求したり、キーを含めたり、暗号化キーを使用して両方の操作を実行したりできます。それはあなた次第ですが、具体的な実装はあなたによって異なります。ファイルシステムの初期化そんな修正はないようです。いろいろ見ることができます。ファイルシステムの初期化仕組みを理解するためのオンラインガイドは次のとおりです。https://wiki.gentoo.org/wiki/Custom_Initramfs
SDカードに暗号化されていない鍵のコピーを残さないように注意してください。コピーも必要です。どこかになぜなら、デバイスが損傷するとNANDから取り外すのが難しいからです。