Forum: Mikrocontroller und Digitale Elektronik Portabler verschlüsselter "PC" mit sicherer Hardware

Vielen Dank für den Link.

Als Prototyp habe ich das Rock960 Board mit OLED Touch Display genommen.

Jetzt möchte ich aber einen Prototyp bauen, welcher auf meine 
Sicherheitsansprüche angepasst ist :) Sprich TPM Module etc.

Außerdem möchte ich eine fest integrierte Festplatte verwenden.


Lg und Danke,
Tristan.

Tristan M. schrieb:
> Jetzt möchte ich aber einen Prototyp bauen, welcher auf meine
> Sicherheitsansprüche angepasst ist :) Sprich TPM Module etc.

Weißt du überhaupt was so ein TPM Module GENAU macht?
Mir scheint du willst den Super-Sicheren PC bauen ohne groß Ahnung von 
Cybersecurity.
Das wird nichts. Lerne erst mal die Grundlagen.

@ Cyblord
Ja, ich weiß, was ein TPM macht, um das Gerät vor Manipulationsversuchen 
etc. zu schützen, würde ich dieses verbauen wollen. Für Vorschläge bin 
ich natürlich offen :D





@wer (Gast)
Ja klar, softwareseitig muss es natürlich dementsprechend konfiguriert 
werden, ich möchte aber erst mal mit der Hardware anfangen.



@Programmierer (Gast)
Den Rockchip habe ich genommen, da ich ihn gerade dahatte… einfach um 
erst mal mal anzufangen und Ubuntu drauf zu spielen:-)
Jetzt überlege ich was ich mir, als Nächstes für Hardware anschaffe um 
Schritt für Schritt voranzukommen.


Vielen Dank für das Feedback,
Tristan

@Programmierer (Gast)
Von Rockchip möchte ich ja weg :D

" https://puri.sm/german-linux-laptops/"; schaue ich mir gleich mal an 
Danke.

@wer (Gast)

Klar haha :)

Ja… es bietet viele Sicherheitsfunktionen außerdem ermöglicht es mir, 
den Code frei zu überprüfen, selbst zu erstellen und zu installieren und 
den sicheren Startvorgang selbst zu steuern.
Und zu sehen, ob jemand die Software nach Updates etc.  auf dem „PC“ (ab 
dem Startvorgang) manipuliert hat.

@wer (Gast)
Bitte ein bisschen detaillierter, wenn ich alles wüsste, wäre ich nicht 
in dem Forum.
Bin für jede Hilfe dankbar :)

Viele Grüße,
Tristan

@Werner (Gast)
Danke für den Tipp, lese ich mir gleich mal durch.
Dann muss ich wohl nach Alternativen schauen.. Es gibt leider sehr viel, 
wo schon erfolgreich geknackt/manipuliert wurde…


@wer (Gast)
Ja klar, aber ich möchte kein fertiges Smartphone benutzen.
Außerdem ist dort Hardware verbaut, welche ich nicht benötige…  wie z. 
B. WLAN, Mobilfunk, GPS, NFC, Bluetooth usw.
Dies könnte man zwar Software seitig abschalten, aber ich möchte diese 
Hardware gar nicht verbaute haben.
Eher habe ich vor was Eigenes zusammen zu bauen :D


Über „Qualcomm TrustZone“ habe ich schon oft negative Artikel gelesen, 
welche über Sicherheitslücken schreiben. Mit bspw. einer 
„Sidechannel-Attacke“ (wo zwar Root Rechte benötigt werden) hätte ein 
Angreifer leichtes Spiel.
Kommt aber auch drauf an, wie regelmäßig es passende „Updates“ geben 
wird, eventuell doch eine Überlegung wert..


Ich lasse mich aber gerne über besseres belehren und bitte auch darum.

Vielen Dank euch,
Tristan

Frage Dich erstmal: Gegen was willst Du Dich schützen? Was ist Dein 
Problem?

Gegen die Staatssicherheit, NSA und andere Gegner mit praktisch 
unbegrenzten Resourcen wirst Du Dich nicht schützen können.

Wenn jemand Deine Hardware in die Finger bekommt, wird er die auslesen 
können. Punkt. Solange wie Du Standard-Hardware und offen zugängliche 
Systembusse hast, sind die Tore für jemanden mit Ahnung und Resourcen 
offen. Schau Dir an, wie die ganzen Spieleconsolen über XBOX, PS3, 
Nintendo usw gehackt worden sind. Auf Youtube gibts da genügend sehr 
interessante Videos.

Schau Dir das an. Dann wirst Du schnell sehen, dass ausnahmslos alles 
gehackt worden ist, wo der Angreifer physikalischen Zugang zur Hardware 
hatte. Manches hat relativ lange standgehalten, aber die 
Hardwarehersteller konnten auch eigene Chips herstellen. Das kannst Du 
nicht.

Zum Zweiten: Linux ist recht komplex. Das kannst Du nicht eben mal so 
abdichten. Schau mal, wie sehr Apple sich bemüht und doch immer mal 
wieder Fehler macht.

So, jetzt noch mal: Was sind Deine KONKRETEN Bedrohungsszenarien?

fchk

Tristan M. schrieb:
> Ja klar, aber ich möchte

Die Schnittmenge aus wollen, können, und sinnvoll, ist leerer als leer.

Oliver

@ Frank K. (fchk)
Da Du Apple erwähnst, der „PC“ sollte wie ein aktuelles iPhone einem 
„Angriff“ relativ lange standhalten.



Was ist mein Problem:
Ich möchte ein Gerät bei mir tragen, auf welchem alle meine zu tiefst 
persönlichen Daten abgelegt sind.


„Gegen was will ich mich schützen und was sind meine 
Bedrohungsszenarien“
Beispiel Szenario:
Ich „Person A“ verliere mein Endgerät wo bspw., alle wichtigen Dokumente 
wie Zeugnisse, Arztberichte, jegliche Verträge, vertrauliche 
personenbezogenen Daten aus meinem Leben abgelegt wurden.
„Person B“ findet mein Endgerät und macht es sich (aus irgendeinem 
Grund, Langweile, Interesse, Zeitvertreib oder Ähnliches) zum Lebensziel 
auf die Daten zu kommen, welche darauf gespeichert sind.

Meine Daten wurden auf dem „PC“ in einem bestimmten Ordner mit VeraCrypt 
verschlüssel. Als Verschlüsselungsalgorithmus wurde 
AES(Twofish(Serpent)) und dem Hash-Algorithmus SHA-512 benutzt, mein 
Phasspahre besteht aus 40 Zeichen wie z. B.
„h]a³yEZ^tB'"cP2rVg&mdp4-W(,ZfzwTXxw#Lx`H“.

Person B sollte niemals auf meine „personenbezogenen Daten“ gelangen.
Auch wenn ich z. B nach China einreisen würde, und es würde ein Backup 
von meinem Gerät gemacht werden, sollten die Kollegen keinen Einblick 
auf meine Daten erhalten, außer ich gebe den Schlüssel freiwillig oder 
gezwungenermaßen preis.

Niemand sollte, wenn ich mein Gerät verliere oder es geklaut wird an 
meine Daten kommen, kein russischer Hacker kein BDN einfach niemand, 
dennoch möchte ich sie immer dabei haben können ohne Angst, dass jemand 
auf meine Daten Zugriff bekommt :D

PS: Das Gerät wird auch nicht mit dem Internet verbunden.

@alopecosa (Gast)
Ein interner Speicher, keine SD Karte o.ä


Viele Grüße,
Tristan

Ein eMMC-Speicher um genau zu sein :)

@ Klaus (Gast)
Ja, Security by Obscurity ;)
Aber es ist schon ein enormer Aufwand, an bestimmte Inhalte eines 
iPhones zu "gelangen"... Vorausgesetzt, Face ID, Fingerabdruck oder ein 
Code mit 4. Zeichen wird nicht verwendet..

Tristan M. schrieb:
> Ich „Person A“ verliere mein Endgerät wo bspw., alle wichtigen Dokumente
> wie Zeugnisse, Arztberichte, jegliche Verträge, vertrauliche
> personenbezogenen Daten aus meinem Leben abgelegt wurden.

Nun ja, die letzen paar tausend Jahre wurde das Problem dadurch gelöst, 
daß man das alles halt einfach nicht mit sich rumträgt.

Wenn dich bei der Einreise nach Absurdistan der Heimatschutzbeauftragte 
freundlich nach dem Passwort fragt, um mal eben die Daten runterzuladen, 
hilft dir das beste TPM nicht weiter.

Manche Probleme kann man nicht technisch lösen, sondern nur mit gesundem 
Menschenverstand.

Oliver

Tristan M. schrieb:
> Was ist mein Problem:

Aus meiner Sicht: dass du zwar irgend ’ne verklärte Vorstellung von 
irgend’nem furchtbar sicheren Device hast, aber zu wenig Überblick über 
die existierende Technik, beziehungsweise nur einen sehr oberflächlichen 
Einblick, so dass du einer Art des Effektes, wie Dunning und Kruger ihn 
beschrieben haben, unterliegst: „Ist ja ganz einfach: man steckt einfach 
dieses und jenes irgendwie zusammen, und schon fällt was raus“.

Was du willst, erfordert Möglichkeiten und Kenntnisse, die du nicht 
hast. Zum Teil ist’s gar unmöglich zu erreichen.

Der Bub will also einen PC auf Smartphone Groesse bauen. Speziell die 
Hardware. Schoen. Quasi einen Close eines Microsoft phones. Denn die 
Android haben keinen x86 und kein Linux drauf.
Der Bub denkt also die Hardware zusammenzukloppen und dann die noetigen 
Linuxtreiben zu schreiben, um allenfalls ein linux laufen lassen zu 
koennen.  Ich wuerd ein eher einfaches Linux, wie zB CentOS empfehlen.
Mit welchen Layoutprogramm wuerde  so ein Projekt denn angegangen werden 
? Mit dem Adler ?

Tristan M. schrieb:

> Person B sollte niemals auf meine „personenbezogenen Daten“ gelangen.
> Auch wenn ich z. B nach China einreisen würde, und es würde ein Backup
> von meinem Gerät gemacht werden, sollten die Kollegen keinen Einblick
> auf meine Daten erhalten, außer ich gebe den Schlüssel freiwillig oder
> gezwungenermaßen preis.
>
> Niemand sollte, wenn ich mein Gerät verliere oder es geklaut wird an
> meine Daten kommen, kein russischer Hacker kein BDN einfach niemand,
> dennoch möchte ich sie immer dabei haben können ohne Angst, dass jemand
> auf meine Daten Zugriff bekommt :D

Gegen staatliche oder quasistaatliche Angreifer wirst Du Dich nicht 
schützen können. Die haben nämlich etwas, was DU nicht hast: Know-How.

Sorry.

fchk

> Gegen staatliche oder quasistaatliche Angreifer wirst Du Dich nicht
schützen können.

speziell vor Ort... einer kleinen Hinterhofbefragung wirst du eher nicht 
bestehen koennen.

Frank K. schrieb:
> Gegen staatliche oder quasistaatliche Angreifer wirst Du Dich nicht
> schützen können.

Falls die Betonung nicht direkt auf „Du“ lag: zaubern können auch diese 
Institutionen nicht. Man kann es denen schon sehr schwer machen. Wobei 
die technische Ebene da aber nur ’n Teil des Ganzen ist.

Jeder fängt mal klein an.
Behauptet, dass ich ein Profi bin, habe ich nicht.

Was ich mir erhoffe, ist Unterstützung, um an meinem Projekt weiter zu 
kommen und dabei ein wenig zu lernen.

Viele Grüße,
Tristan

Tristan M. schrieb:
> Jeder fängt mal klein an.

Naja … du aber willst gleich mit ’nem richtig großen Ding einsteigen. 
Fang’ eben doch erstmal klein an :)

@ Jack V. (jackv)
Die "Ansprüche" wären ein "Traum"
Wie erwähnt, Ziel ist es meine Software von dem Rockchip auf eine 
Hardware zu schieben, welche einigermaßen "sicher" ist.

Für Tipps bzw. Unterstützung bin ich dankbar :)

@ Donni D. (donnidonis)
Es soll auch kein Serienreifes, im ladenerhältliches Produkt werden.
Ich bin einfach auf der Suche, nach einem halbwegs sicheren 
Mikrocontroller damit ich mir die Hardware zusammen basteln kann :-)

Erst mal dieses Projekt, danke:D


@ aiaiai (Gast)
Netzwerk Zugriff sollte das Gerät nicht haben, weshalb eine zusätzliche 
VM nicht nötig wäre?

Vielen Dank euch.

Moin,

Tristan M. schrieb:
> Ich bin einfach auf der Suche, nach einem halbwegs sicheren
> Mikrocontroller damit ich mir die Hardware zusammen basteln kann

Was soll denn an dem Rockchip unsicher sein?
Wenn du diesen Affenzirkus:
Tristan M. schrieb:
> Meine Daten wurden auf dem „PC“ in einem bestimmten Ordner mit VeraCrypt
> verschlüssel. Als Verschlüsselungsalgorithmus wurde
> AES(Twofish(Serpent)) und dem Hash-Algorithmus SHA-512 benutzt, mein
> Phasspahre besteht aus 40 Zeichen wie z. B.
> „h]a³yEZ^tB'"cP2rVg&mdp4-W(,ZfzwTXxw#Lx`H“.

auf dem Rockchip veranstaltest, wieso glaubst du dann, dass Mutti 
leichter deine pr()n-sammlung findet, als wenn du das auf irgendeinem 
Schlonz-Prozessor mit droelfzehnfach querverseiltem TPM hast?

Nimm doch einen WindowsPC, surf auf komischen Seiten, klick immer auf 
alle e-mailanhaenge. Wenns gut laeuft, wird der automatisch 
verschluesselt.

Gruss
WK

Popcorn-time..

Was spricht dagegen die hochbristanten Daten im Kopf zu speichern? Sowas 
bekommen nur Frauen auf.

Was dort nicht hineinpasst, einfach mal per crypt und luks auf einen 
beliebigen Speicher bringen. Das sollte für normalsterbliche reichen. 
Luks gibts nicht für Windows.

Smartphone, Internet, updates? Glaubst du echt daran? Google lauscht dir 
jetzt gerade in der Badewanne. Weiss genau wieviele Flaschen Schaumbad 
du in den letzten 10 Jahren verbraucht hast.

Wenn es immer noch nicht reicht, sich beim Feind deines Feindes 
einstellen und ausbilden lassen.

Nach weiteren 3 Jahren endlich eingestehen, dass niemand DICH verfolgt. 
Zumindest nicht mehr als irgendeinen anderen, der nichts ausgefressen 
hat.

Tristan M. schrieb:
> alle wichtigen Dokumente
> wie Zeugnisse, Arztberichte, jegliche Verträge, vertrauliche
> personenbezogenen Daten aus meinem Leben abgelegt wurden.

Und Du glaubst ernsthaft, daß sich irgend jemand anderes für diesen 
Schwachsinn interessieren würde?
Ich wüßte jedenfalls nicht, warum man sowas langweiliges ständig mit 
sich tragen sollte.

Man könnte solche Daten in einen Ordner "Bedienungsanleitungen" packen, 
da schaut garantiert niemand rein.