安全性:Raspberry Pi真的是无状态的吗?

灰尘

Raspberry Pi已变得非常流行。因为它非常便宜和简单,所以对于生活在所谓的发展中国家的人们来说,它可能是一种有吸引力的设备。

但是,在这些州中的许多州,重要的是,新闻工作者和政治活动家必须拥有不会监视其用户的可信赖设备。传统的PC包含许多带有闪存的硬件组件。可以对这些组件的固件进行重新编程,以包含对其用户进行监视的恶意软件(请参阅论文:此处,2015年12月举行的演讲:此处)。

我试图研究Raspberry Pi上各种芯片的数据表。但是我仍然不确定:我的结论是正确的(假设SD CARD的内容没有受到损害),真正的原始Raspberry Pi(A,B和2)没有“板载”芯片,适合嗅探或监视恶意软件哪些可能会危害在这样的系统上处理的重要密钥?

游侠怪胎

RPi很奇怪。您的引导加载程序实际上是从GPU启动的,而手臂处理器是GPU的协处理器。因此第一阶段的bootloader一个ROM,不能改变的,大约只要你信任的基础RPI可以信任。

有趣的是,这也意味着您几乎永远无法建立一个rpi-因为rpi本身(如您所说是“无状态的”),或者更确切地说,rpi上没有非易失性存储器。

我可能应该提供一些资源-elinux托管我相信正式的rpi Wiki是什么-它们深入介绍了rpi的运行方式Rpi.SE讨论了系统的设置方式以及“奇数”的原因。关于kandyan代码的这篇文章对于理解引导过程的工作方式很有用。

尽管值得考虑,尽管乔安娜·鲁特科夫斯卡(Joanna Rutkowska)是一名出色的黑客,但她所做的大部分工作都是利用异国漏洞利用。相对不太可能,很多的东西,她的作品上是常见的,武器化和纸摸起来像theoratical“如果” -比较这与蓝色药丸-争议不谈,还有的利用工作的例子。

因此,从理论上讲,在SD卡上安装受信任的Rpi(您知道它的固件没有被篡改)(黄小兔说,可能)应该是合理可信的。

就是说,我想对这个想法提出两个对策。在一个真正的压制性政权下,问题不只是收集正在散布事物的信息。与将恶意软件潜入PC相比,一种机制利用通讯或用扳手殴打某人也要简单得多第二个问题是,如果您要与压抑的对手打交道,并且具有处理常规固件黑客技术的精湛技巧,则还有其他弱点。“无状态”设备不应误解安全性。

其次,除非有一个标准问题“的政治活动家笔记本电脑”,你adversery需要一个野生攻击靶向每一个笔记本电脑型号,或宽阵列驱动器的阵列。软件开发,旧漏洞,电话窃听和流量分析都更便宜,并且可以更好地利用资源。再说一次,扳手比破解密码更便宜,更有效,而传统的情报方法比外来的漏洞更具威胁性。就此而言,如果所有出色的激进主义者都这样做,那么带着rpi到处走走并拒绝使用其他系统似乎有点可疑。如果我是记者,我宁愿在第三方国家购买带有第三方固件的一次性刻录机智能手机。没有人会注意这些。

也就是说,RPI确实有一些优点。它们便宜得可笑,而且体积小,所以我想如果您需要赶时间,就不会有太大的损失。拿起您的SD卡并运行。也许有某种方法可以销毁SD卡或将其换成无害的内容。只需记住,任何一种技术都不能完全治愈。

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

主要使用JWT的无状态认证真的安全吗?

来自分类Dev

无状态后端安全吗?

来自分类Dev

Ubuntu安全性足够吗?

来自分类Dev

JWT用于无状态API,但会话控制用于安全性

来自分类Dev

KeyError:Flask_security中的“安全性”吗?

来自分类Dev

这些可可安全性等级与iOS等效吗?

来自分类Dev

为先前的Flutter项目关闭Null安全性吗?

来自分类Dev

自签名SSL证书的安全性较低吗?

来自分类Dev

这些可可安全性等级与iOS等效吗?

来自分类Dev

使用安全性进行SSH登录吗?

来自分类Dev

我可以在SAML2中为令牌安全性和协议安全性使用相同的证书吗?

来自分类Dev

这会打破RESTful API的无状态性吗?

来自分类Dev

这会打破RESTful API的无状态性吗?

来自分类Dev

如何增加用户数据更改的安全性?我的方法安全吗?

来自分类Dev

如果我在网站上使用https证书,是否真的需要担心安全性?

来自分类Dev

在垒中同时具有传输级安全性和消息级安全性是不可能的吗?为什么?

来自分类Dev

GNOME推迟非安全性更新-这会降低当前第三方应用程序的安全性吗?

来自分类Dev

如何使用Level 3 Perforce安全性(基于票证)始终保持登录状态?

来自分类Dev

春季安全性:AuthenticationManager抛出BadCredentialsException时返回状态401

来自分类Dev

GitHub工作流程-如何确保项目的最新状态和密码的安全性?

来自分类Dev

在这种情况下使用SecureString会提高安全性吗?

来自分类Dev

Google App Engine-仅将安全性约束应用于POST方法吗?

来自分类Dev

couchbase安全性,我可以将moxi端口11211限制为本地主机吗

来自分类Dev

使用其他类型的函数声明违反C ++中的类型安全性吗?

来自分类Dev

拥有恒定的KeyStore会使它的安全性降低吗?

来自分类Dev

有必要尽早检查边界以确保Golang中写入的安全性吗?

来自分类Dev

在React-Router上键入安全性可能有路由参数吗?

来自分类Dev

Google储存空间公用档案的安全性-存取时没有连结吗?

来自分类Dev

Seq API:使用集成安全性进行身份验证吗?

Related 相关文章

  1. 1

    主要使用JWT的无状态认证真的安全吗?

  2. 2

    无状态后端安全吗?

  3. 3

    Ubuntu安全性足够吗?

  4. 4

    JWT用于无状态API,但会话控制用于安全性

  5. 5

    KeyError:Flask_security中的“安全性”吗?

  6. 6

    这些可可安全性等级与iOS等效吗?

  7. 7

    为先前的Flutter项目关闭Null安全性吗?

  8. 8

    自签名SSL证书的安全性较低吗?

  9. 9

    这些可可安全性等级与iOS等效吗?

  10. 10

    使用安全性进行SSH登录吗?

  11. 11

    我可以在SAML2中为令牌安全性和协议安全性使用相同的证书吗?

  12. 12

    这会打破RESTful API的无状态性吗?

  13. 13

    这会打破RESTful API的无状态性吗?

  14. 14

    如何增加用户数据更改的安全性?我的方法安全吗?

  15. 15

    如果我在网站上使用https证书,是否真的需要担心安全性?

  16. 16

    在垒中同时具有传输级安全性和消息级安全性是不可能的吗?为什么?

  17. 17

    GNOME推迟非安全性更新-这会降低当前第三方应用程序的安全性吗?

  18. 18

    如何使用Level 3 Perforce安全性(基于票证)始终保持登录状态?

  19. 19

    春季安全性:AuthenticationManager抛出BadCredentialsException时返回状态401

  20. 20

    GitHub工作流程-如何确保项目的最新状态和密码的安全性?

  21. 21

    在这种情况下使用SecureString会提高安全性吗?

  22. 22

    Google App Engine-仅将安全性约束应用于POST方法吗?

  23. 23

    couchbase安全性,我可以将moxi端口11211限制为本地主机吗

  24. 24

    使用其他类型的函数声明违反C ++中的类型安全性吗?

  25. 25

    拥有恒定的KeyStore会使它的安全性降低吗?

  26. 26

    有必要尽早检查边界以确保Golang中写入的安全性吗?

  27. 27

    在React-Router上键入安全性可能有路由参数吗?

  28. 28

    Google储存空间公用档案的安全性-存取时没有连结吗?

  29. 29

    Seq API:使用集成安全性进行身份验证吗?

热门标签

归档