Шифрованная rootfs в embedded

проприетараст?

Не обязательно, может человек хочет поднять закриптованный NAS для сверхсекретных домашних фотографий ;) Если серъёзно, то мне тоже интересно как такое провернуть.

При чём тут проприетарщина? Весь софт свободный. Просто хочу, чтобы у пользователя была возможность шифровать свою информацию.

на андроидах стандатный dm-crypt (хотя в новых file based шифрование поддерживается). хранение ключей - отдельный вопрос, зависит от вендора.

Ключ в OTP памяти cpu, там же root of trust и поехали. Делалось ещё десять лет назад.

Если да, то как? U-boot может спрашивать пароль на UART0, чтобы расшифровать rootfs?

Зачем, если это может делать юзерспейс, точно так же, как на десктопе

Юзерспейс из нешифрованного initramfs? Хотелось бы обойтись без этого.

он в любом случае нужен, голое ядро монтировать крипторазделы не умеет :)

Если только загрузчик не расшифрует шифрованный раздел налету.

UBOOT поддерживает шифрованный разделы?

GRUB поддерживает шифрованный /boot и дополнительно верифицирует его содержимое.

LibreBOOT поддерживает шифрование диска, а CoreBOOT нет.

Тащемта умеет
https://www.kernel.org/doc/html/latest/admin-guide/device-mapper/dm-init.html

Точно также ты можешь засунуть GRUB в coreboot и он тоже будет это поддерживать. libreboot - это форк coreboot для тех плат, которые могут работать вообще без закрытых блобов (вне зависимости от того, насколько они изучены и представляют опасность). Нет ничего такого, что может libreboot но не может coreboot.

Конечно https://ch1p.io/armbian-fde/

Initramfs в ядре через CONFIG_INITRAMFS_SOURCE.

Он только в пиар не может так же, как libreboot =) Это вездесущее заблуждение, что coreboot - это с блобами (даже на x200), а libreboot - без блобов, что libreboot якобы чем-то лучше (по факту он даже хуже). Это даже меньше чем форк, это просто сборочка с красивыми обоями.

Не могу найти информации про поддержку шифрованных разделов в U-boot. GRUB, а тем более Coreboot и Libreboot здесь оффтопик.

Тут расшифровка происходит именно на стадии initramfs, а не на стадии загрузчика. Но тоже интересно, спасибо!

А тебе принципиально чтобы было именно в uboot? А зачем? Сомневаюсь что uboot умеет в LUKS, но хз.

Не принципиально, чтобы был U-boot, любой загрузчик пойдёт. На железке, вроде бы должен быть Rockchip, не особо знаю, какой там выбор софта.

А почему? Всё равно хоть что-то останется нешифрованным. Какая разница, что именно? Вариант с вводом пароля в юзерспейсе самый простой.

Если серъёзно, то мне тоже интересно как такое провернуть.

На NAS - элементарно: берём ISCSI, а том шифруем LUKS’ом уже на клиенте.

Это просто, а вот шифрованная rootfs – это куда сложнее.

Это очень просто. ZFS умеет шифроваться.

https://saveriomiroddi.github.io/Installing-Ubuntu-on-a-ZFS-root-with-encryption-and-mirroring/