নিম্নলিখিত অনুলিপি সুরক্ষা ক্র্যাক করা কত সহজ? [বন্ধ]


11

আমি কিছু কাজ অনুলিপি করে সুরক্ষিত করার চেষ্টা করছি, যা এআরএম ডিভাইসে (রাস্পবেরি পাই) লিনাক্স কার্নেলটি বুট করার যোগ্য একটি এসডি কার্ড। আমি এই পদ্ধতির ব্যবহার করছি:

  1. পদ্ধতির মাধ্যমে একটি এনক্রিপ্ট করা রুট ফাইল সিস্টেমটি মাউন্ট করার জন্য একটি আরআরআরডি ব্যবহার করা হয়।
  2. আরডিআরডি এসডি কার্ডের সিআইডি অনুযায়ী ফাইল সিস্টেমের পাসওয়ার্ড তৈরি করে। (একটি হ্যাশ ফাংশন ব্যবহৃত হয়, এমডি 5 বা শ 1 এর উপরে এখনও সিদ্ধান্ত নেয় না)। ইনারার্ড সেই উত্পন্ন পাসওয়ার্ডটি ব্যবহার করে ফাইল সিস্টেমটি মাউন্ট করার চেষ্টা করবে।
  3. এখন এখানে সর্বাধিক আকর্ষণীয় / সন্দেহজনক অংশ: আরআরআরটি নিজেই একটি কাস্টম সি ফাংশন ব্যবহার করে এনক্রিপ্ট করা হয়েছে, মূলত প্রতিটি বাইটটি কাস্টম তৈরি সিউডো র্যান্ডম জেনারেটর ব্যবহার করে XOR'ed হয় is কার্নেলের একই এনক্রিপ্টিং ফাংশনটি সংশোধন করা হয়েছে, যা ডিক্রিপ্টর হিসাবে কাজ করে।
  4. সিস্টেম নিজেই ডাউন হয়ে যায় তাই কোনও কীবোর্ড বা বাহ্যিক স্টোরেজ ব্যবহার করার উপায় নেই। একটি একক অ্যাপ্লিকেশন পূর্ণ পর্দা চালায়।

সুতরাং বুটলোডার কার্নেল এবং initrd লোড করার পরে, কার্নেল initrd ডিক্রিপ্ট করে এবং তার init স্ক্রিপ্ট কার্যকর করে, যা পাসওয়ার্ড তৈরি করে এবং রুট ফাইল সিস্টেমটি মাউন্ট করবে।

আমার প্রশ্ন: এই সেটআপটি ভাঙা (রুট ফাইল সিস্টেমটি ডিক্রিপ্ট করে কোনও এসডি কার্ড থেকে বুট করা) কত সহজ হবে? সবচেয়ে দুর্বল অংশগুলি কী কী? কার্নেলটি ছড়িয়ে ফেলা এবং সেইসাথে কাস্টম এনক্রিপ্ট করার কাজগুলি খুঁজে পাওয়া কত সহজ?

সম্পাদনা: এখানে কিছু সংশোধন রয়েছে যাতে আপনি সুস্পষ্ট জিনিসগুলির সাথে সময় নষ্ট করবেন না:

  1. রুট ডিভাইসটি LUKS (aes256) দিয়ে এনক্রিপ্ট করা হবে এবং এসডি কার্ডের সিআইডি এবং কিছু লবণের সাহায্যে কীটি এইচএমএসি ফাংশন দ্বারা উত্পন্ন হবে।
  2. ইনি্রামগ্রাম এনক্রিপ্ট করার জন্য সিউডো র্যান্ডম অ্যালগরিদম আসলে আরসি 4 হবে, কিছু কিছু কাস্টম ফাংশন ব্যবহার করে কীটি উত্পন্ন হবে, কারণ আমি যদি কেবল একটি বাইট অ্যারেতে কীটি সঞ্চয় করি তবে এটি পুনরুদ্ধার করা একে মৃতসাধ্য করে তোলে (হ্যাঁ এটি অন্ধকারের মাধ্যমে সুরক্ষা তবে অন্য কোনও উপায় বলে মনে হচ্ছে না)।
  3. আমি বুঝতে পেরেছি যে এসডি কার্ড এমুলেটর ব্যবহার করে কেউ যদি এই সিস্টেমের একটি অনুলিপি শুরু করতে পারে তবে এটি আমার কাছে ঠিক আছে কারণ এটি বেশ কঠিন এবং কেউই এটি করতে পারে না ((এছাড়াও কেউ অনুকরণকারীদের সাথে ডিল করতে চাইবে না)

কার্নেল এবং আরআরআরডি কোথায় সংরক্ষণ করা হয়?
user1686

সমস্ত একটি একক এসডি কার্ডে সঞ্চয় করা হয়। উভয় পৃথক ফাইল। / বুটে যথারীতি সঞ্চিত।
ডিএমভনাইক

উত্তর:


7

এই সেটআপটি ভাঙা (রুট ফাইল সিস্টেমটি ডিক্রিপ্ট করে কোনও এসডি কার্ড থেকে বুট করা) কত সহজ হবে?

আপনার সেটআপটি "ব্রেক" করা কতটা শক্ত তা নির্ভর করে আপনি নিজেরাই ফাইল সিস্টেমকে স্বাক্ষর / এনক্রিপ্ট করতে যে কোনও পদ্ধতিতে এনট্রপির বিটের সংখ্যার উপর নির্ভর করে (যেহেতু এটি ব্রুট-ফোর্সের জন্য ব্যবহার করা যেতে পারে এমন মোট অনন্য সংমিশ্রণের সংখ্যা নির্ধারণ করে শব্দসংকেত).

সবচেয়ে দুর্বল অংশগুলি কী কী?

কোনও সন্দেহ ছাড়াই, একটি পূর্বনির্ধারিত সিআইডি পাসওয়ার্ড হিসাবে ব্যবহার করার পাশাপাশি কাস্টম সিউডো-এলোমেলো সংখ্যা জেনারেশন ফাংশন ব্যবহার করে।

কোনও এসডি কার্ডের সিআইডি কেবলমাত্র পঠনযোগ্য বলে মনে করা হয়, তবে এই দিন এবং যুগে অ-সঙ্গতিপূর্ণ ফ্ল্যাশ মেমরি ডিভাইসগুলি খুঁজে পাওয়া অস্বাভাবিক নয়। কিছু লোক এমনকি নির্দিষ্ট এসডি কার্ডের সাহায্যে সিআইডি ওভাররাইট করার ক্ষমতাও প্রদর্শন করেছে । এটি পাসওয়ার্ডটিকে নিষ্ঠুর করে তোলা আরও সহজ করে তোলে, বিশেষত যদি কেউ আপনার ক্লোনিংয়ের পরে কেবল কোনও এসডি কার্ড অনুকরণ করে (যা আপনি বিবেচনা করতে চান এমন অন্য কিছু)।

অবশেষে, যে কোনও ধরণের সিউডো-এলোমেলো সংখ্যার জেনারেটর ব্যবহার করে ইতিমধ্যে কিছু অভ্যন্তরীণ ত্রুটি রয়েছে, কারণ এটি এলোমেলো নয় - এর কারণ রয়েছে যার নাম সিউডো-র্যান্ডম । প্রাক-তৈরি এনক্রিপ্ট হওয়া বুটলোডার ( ট্রুক্রিপট বা LUKS এর মতো, যা উভয়ই রাস্পবেরি পাইতে কাজ করে) ব্যবহার করা ভাল এবং কোনও ম্যানুয়াল কার্নেল পরিবর্তন করা এড়ানো উচিত।

কার্নেলটি ছড়িয়ে ফেলা এবং সেইসাথে কাস্টম এনক্রিপ্ট করার কাজগুলি খুঁজে পাওয়া কত সহজ?

যে কোনও কিছুর ডিসমাইল করা খুব কঠিন। বিপরীতভাবে, একটি সংকলিত অ্যাপ্লিকেশনটির ডি-অ্যাসেম্বলি প্রায়শই তুচ্ছ হয় এবং এমন অনেক সরঞ্জাম রয়েছে যা বিপরীত প্রকৌশল সমাবেশকে অন্য উচ্চ-স্তরের ভাষায় সহায়তা করতে ব্যবহৃত হতে পারে। যদি কোনও আক্রমণকারী কোনও সংকলিত কার্নেলটিতেও অ্যাক্সেস করে থাকে তবে সিউডো-এলোমেলো সংখ্যা জেনারেটরের মতো কিছু বিশ্লেষণ করা যদি কোডটি উদ্দেশ্যপ্রণোদিত না করা হয় তবে সম্ভবত তুচ্ছ।


টিএল, ডিআর : এনক্রিপশন এবং সুরক্ষার ক্ষেত্রে চাকাটি পুনরায় উদ্ভাবন করবেন না, চেষ্টা করা এবং সত্যের সাথে লেগে থাকুন। বেশ কয়েকটি পূর্ণ-ডিস্ক এনক্রিপশন বিকল্প রয়েছে যা ইতিমধ্যে উপলব্ধ এবং রাস্পবেরি পাইতে ঠিকঠাক কাজ করার জন্য প্রদর্শিত হয়েছে। আমি এসডি কার্ডের সিআইডি একধরণের "পাসওয়ার্ড" হিসাবে ব্যবহার করা এড়িয়ে যাব - এমনকি এটি পরিবর্তন করা যায় না, এই মানটিকে ফাঁকি দেওয়ার উপায় রয়েছে।

অনুলিপি সুরক্ষাটি ইতিমধ্যে সিপিআরএম হিসাবে এসডি কার্ডের স্পেসিফিকেশনে অন্তর্ভুক্ত রয়েছে ।


উত্তর করার জন্য ধন্যবাদ. আমি সিপিআরএম সম্পর্কে জানি কিন্তু এর চশমাগুলি এনডিএর সাথে বন্ধ এবং এতে প্রচুর অর্থ ব্যয় হয় (যা আমি কুড়িয়েছিলাম) led LUKS এবং Truecrypt হিসাবে, এগুলির জন্য ম্যানুয়ালি বুটে প্রবেশের কী প্রয়োজন। আমি যদি কিছু এইচএমএসি ফাংশন ব্যবহার করে সিআইডি থেকে কী উত্পন্ন করতে ট্রুক্রিপট বুটলোডারটি সংশোধন করি তবে এর চেয়ে ভাল আর কিছু হতে পারে? আমি আরও বুঝতে পারি যে এটি এসডি কার্ড এমুলেটর দিয়ে করা যায় তবে এটি আমার পক্ষে ঠিক আছে, এটি জলদস্যুদের পক্ষে অসুবিধার উপযুক্ত সুবিধাজনক গ্রেড। (আমি বুঝতে পারি যতক্ষণ না ডিভাইসে
কীটি স্বয়ংসম্পূর্ণ

@ ইউজার ২০২১২২২ সত্যিই আমি আপনাকে এগিয়ে নিয়ে যাওয়ার চেষ্টা করছিলাম। এটি হবে সম্ভবত , মোটামুটি সহজ উৎস থেকে Truecrypt বুট-লোডার পরিবর্তন করতে হতে যদিও আমি নিশ্চিত কতটা কঠিন একটি বুট-লোডার থেকে সিআইডি প্রাপ্ত (যেহেতু আপনার কাছ থেকে SD কার্ড নির্দিষ্টকরণের অনুসন্ধান করার জন্য একটি লোড অপারেটিং সিস্টেম হবে না হবে নই )। তবে, আপনি যদি পরিচালনা করেন তবে এটি সম্ভবত আপনার প্রয়োজনের জন্য একটি গ্রহণযোগ্য এবং পর্যাপ্ত সমাধান হবে।
ব্রেকথ্রু

1

দক্ষ কেউ এই ক্র্যাক করতে খুব সমস্যা হবে না। এমুলেটরের অধীনে এসডি কার্ড বুট করা তুলনামূলকভাবে সহজ হবে এবং তারপরে কেবল র‌্যামের বাইরে থাকা কীগুলি পড়ুন। তারপরে তারা জলদস্যু উপসাগর (ইত্যাদি) অনুলিপি সুরক্ষা ব্যতীত একটি সংস্করণ পোস্ট করেন এবং এটিই।

বিকল্পভাবে, চলমান এমুলেটেড সিস্টেমে শেলকোড ইনজেকশন করতে এমুলেটরটি ব্যবহার করুন। তারপরে ডিক্রিপ্ট করা রুটফেসগুলি অনুলিপি করতে (বা কীগুলি ব্যবহার করে কীগুলি পড়ুন dmsetup table --showkeysইত্যাদি) অনুলিপি করতে চলমান সিস্টেমটি ব্যবহার করুন

একটি দ্রুত অনুসন্ধান রাস্পবেরি পাই এমুলেটরগুলির অস্তিত্বকে সরিয়ে দেয় , তাই ইতিমধ্যে কাজটির কিছু অংশ সম্পন্ন হয়েছে।

আপনার আর একটি সমস্যা হয়েছে, বিশেষত:

কার্নেলের একই এনক্রিপ্টিং ফাংশনটি সংশোধন করা হয়েছে, যা ডিক্রিপ্টর হিসাবে কাজ করে।

আপনি যার কাছে এটি বিতরণ করেন সে জিপিএল এর শর্তাবলীতে কার্নেল উত্স কোডের অধিকারী। সুতরাং আপনার এটি বিচ্ছিন্ন করার প্রয়োজন হবে না, আপনি কেবল diffঅতিরিক্ত ফাংশনটি সন্ধান করতে ব্যবহার করতে পারেন ।

(বিচ্ছিন্নতার মাধ্যমে এটি সন্ধান করা যে কঠিন হবে তা নয়, যেমন আপনি উদাহরণস্বরূপ, বনাম স্টক কার্নেলটি পরীক্ষা করতে পারেন)

আমি রাস্পবেরি পাই বুট কোডের সাথে পুরোপুরি পরিচিত নই, তবে আপনি যদি এম্বেড করা ক্রিপ্টো কী (যেটি তখন কার্নেলের কাছে প্রেরণ করা হয়) দিয়ে বুটলোডারকে পুনঃচলাচল করতে পারেন, তবে এটি অন্তত এসডি কার্ডে না থাকতে পারে, তাই এটি ' এটি একটি এমুলেটরটিতে বুট করার চেষ্টাটি ব্যর্থ করে।


হ্যাঁ আমি লাইসেন্সিং সংক্রান্ত সমস্যা সম্পর্কে সচেতন, আমি এখনও কার্নেলটি অক্ষত রেখে এমনকি ফ্রিবিএসডি কার্নেলে স্যুইচ করার উপায়গুলি খুঁজছি তবে আপাতত কেবল প্রযুক্তি সংক্রান্ত সমস্যাগুলিই আলোচনা করা যাক। বুটলোডার ধারণাটি অত্যন্ত আকর্ষণীয় তবে আমি এটি বাস্তবায়নের কোনও উপায় খুঁজে পাইনি, সম্ভবতঃ এরূপ কোনও উপায় নেই।
12 'এ ডিএমভনিকে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.