<html><body>Hoj,<br>napad je to hezky. Pro me sice ne az tak zajimave (nepracuju na VPSFree s datama, ktery by musely mit takovejhle stupen ochrany), nicmene dovedu si predstavit usecase, kdy se to vyuzije.<br><br>OF<br><br><aside>
---------- Původní e-mail ----------<br>
Od: Pavel Snajdr <snajpa@snajpa.net><br>
Komu: community-list@lists.vpsfree.cz<br>
Datum: 26. 4. 2018 14:18:39<br>
Předmět: [vpsFree.cz: community-list] Bez Hostovani ARM & RISC-V & dalsich
desek
</aside><br><blockquote data-email="snajpa@snajpa.net">Ahojte,<br><br>od zacatku roku bojujeme spolu se vsemi ostatnimi, co chteji sdilet <br>vykonne masiny, se zranitelnostmi procesoru.<br><br>Blizici se GDPR (na ktere uz konecne pripravujeme smernici, btw) a <br>celkove stav kyberprostoru myslim pro ty z nas, co si ceni soukromi vic, <br>znamena neklidny spanek.<br><br>Spectre a Meltdown mame softwarove workaroundnute, po par mesicich boje, <br>uff.<br><br>Branchscope? Zatim ani naznak reseni, to zas pristane do upstreamu jeden <br>fajny patch a pak budeme vymyslet backporty na vsechno mozne, ze...<br><br>No. Jake to ma reseni?<br><br>Pokud nemuzu pro citliva data v RAM v kazdy moment 100.0% verit, ze se <br>na ne nemuze divat nekdo jiny, nepomuze ani sifrovani, protoze staci <br>najit v dumpu sifrovaci klice a je to.<br><br>Resenim je tedy mit svoji RAM pod kontrolou.<br><br>Jak na to?<br><br>Virtualizace? Kde ze, napr. Spectrem prolezete i pres ni.<br><br>Jediny, co mne napadlo, je dat clenum moznost mit ciste svoji RAM pro <br>sebe, pro citliva data.<br><br>Tedy, kdo mate potrebu realne chranit nejake zaznamy, dostanete moznost <br>mit tu ci onu databazi na samostatnem pocitaci, na ktery nema primy <br>pristup nikdo jiny.<br><br>Jak?<br><br>Zaciname varit hardware, ktery bude fungovat jako podpurny management <br>pro jednodeskove pocitace, ktere si:<br><br>- donesete sami a my je umistime do datacentra<br>- nakoupime spolecne hromadne<br><br>Ja mam vysoke standardy a tak muzu rict, ze mi Rasberry Pi stacit <br>nebude, ani trojka (za mne moc pomale, no).<br><br>Cortex-A53 s 1 GB LPDDR2 RAM mi prijde OK tak pro testovani a hrani si s <br>takovou "secure enklavou", nebo pro uplne nekriticke pouziti; ja bych <br>osobne uvital vykonnejsi desky s vice RAM.<br><br>Moje uvaha je, ze kdyz budu mit kombo CPU a RAM pro sebe, mam vcelku pod <br>kontrolou, jestli se mi z te moji enklavy da vyladovat data nejakou <br>zranitelnosti v CPU.<br><br>Ale nechtel bych behat do datacentra menit SD karty - bohuzel, vetsina <br>desek bootovat ze site naprimo neumi; u nekterych se PXE-bootovat da <br>pomoci chainloadu z u-bootu z SD karty, ale taky ne u vsech.<br><br>Ja bych chtel mit storage zalohovany a na nejakem solidnejsim ulozisti, <br>nez je SD karta. Proto v Base48 startujeme projekt HW emulatoru SD karty <br>& managementu SBCs (napisu mail behem par dni, o co jde). S tim se taky <br>sveze podpora power on/off, resetu a serioveho portu pro remote consoli.<br><br>Zaroven s tim jeste resime sifrovani remote konzole, protoze pokud mam <br>mit data na cizim ulozisti, budu je sifrovat - a nejak musim v pripade <br>rebootu/vypadku napajeni dodat klic k tomu pocitaci tak, abych te ceste <br>mohl verit. Pravdepodobne to bude obnaset fyzickou navstevu v nekterem z <br>hackerspaces po republice, abyste zanesli nejaky svuj klic/heslo na <br>hardwarovy token, ktery bude pouzivan k sifrovane komunikaci s <br>management deskou - aby nebylo mozne precist klic k sifrovanym diskum po <br>ceste, kdyz ho do toho pocitace budete zadavat.<br><br>Chteli bychom management "secure enklav" zaintegrovat do vpsAdminu, aby <br>se dalo:<br>- tomu systemu pristoupit na konzoli pri odrezani se<br>- zapnout/vypnout "natvrdo"<br>- ale taky vymenit "virtualni SD kartu"<br>- udelat snapshot, obnovit ze zalohy<br>- pripadne SD kartu zpristupnit do nektereho z kontejneru na x86 <br>infrastrukture a oddebugovat si to pod QEMU<br><br>Co se tyce "BYOD", tedy "dones si svoje zarizeni", pozadavky budou:<br><br>- rozumna spotreba a rozmery (5V napajeni, rozmery max okolo rozmeru <br>3.5" pevneho disku)<br>- microSD/SD slot z ktereho se bootuje (pripadne boot ze site bez <br>potreby SD karty je taky v poho)<br>- 1/2 ethernety (1000/100/10M)<br><br>No a co se tyce hromadnejsiho sehnani HW:<br><br>- chtel bych, abychom meli aspon par desek RISC-V a mohli to zpristupnit <br>tem, kteri na tom potrebuji odladit open-source balicek a podobne<br>-> kdo budete chtit RISC-V pro sebe, muzete se pridat<br><br>- potom bych chtel rozumne ARMv8 (64bit) desky s aspon 4 GB RAM (zatim <br>je muj favorit SoC RK3399)<br><br>- nejaky pool Raspberrycek asi taky neuskodi<br><br>A co mne laka uplne nejvic, cela open-source komunita by tak mela <br>moznost si umistit nekam HW, ktery muze delat dokola automatizovane <br>testovani software na tech deskach, protoze:<br><br>1. reset<br>2. remote storage<br>3. remote console<br>4. remote GPIO<br>5. to cele vzdalene pres API/CLI<br><br>Predstavy o clenskych prispevcich jeste uplne nemam, ale cilim to tak, <br>ze jedna deska by znamenala maximalne cca standardni clensky prispevek <br>(tj. 300/mes) a budto v tom bude nejakej defaultni Rasp Pi a XYZ GB <br>storage, nebo si prinesete svoji desku a budete k tomu pak mit storage o <br>ABC GB navic oproti prvni variante.<br><br>Kdo jste docetl az sem a koho to zaujalo, prosim?<br><br>Ozvete se s feedbackem. Hodil by se lepsi nazev, nez "secure enclave", <br>protoze to uz ma hodne dlouho moc jablecny zavan :)<br><br>Diky za reakce,<br><br>/snajpa<br>_______________________________________________<br>Community-list mailing list<br>Community-list@lists.vpsfree.cz<br>http://lists.vpsfree.cz/listinfo/community-list<br></blockquote></body></html>