<div dir="ltr">Hi Xavier,<div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 25, 2016 at 5:10 PM, Xavier Pegenaute M2M <span dir="ltr"><<a href="mailto:xavier.pegenaute@nexiona.com" target="_blank">xavier.pegenaute@nexiona.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Tyler, All,<br>
<br>
my use case is something like this:<br>
<br>
we develop some software that can be installed in some hardware provided by the client. One of our clients requires a snappy distribution. To protect our data we need to encrypt all FSs in the snappy. Even if at the moment we have some weak points such as the place were we store the keys. It is not expected to have a human around every time the snappy boots but time to time it may be possible.<br>
Our goal is to protect the content in case some one takes the hardware and mount the partitions as an external drive.<br></blockquote><div>But surely if someone takes the hardware, they just need to boot it and it will decrypt itself. So unless you are storing the decryption key outside the device I am not sure how this will provide you additional security. no? </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
To do so I want to encrypt the FSs with LUKS and provide somehow the key at boot time and decrypt the FSs: system-a/b, writable and swap. During this process I am facing some problems which I need to solve asap:<br>
- The configured grub on the FS, apparently does not belong to the real system. When I run update-grub from a fresh installation does not appear the same menu options than when booted before.<br>
- The "break=premount" parameter does not work<br>
- The kernel and initrd image are located in /boot but the "boot" partition point to /boot/efi which I guess it will be a problem when de rootfs is encrypted.<br>
    As a solution, I guess it is better to move the kernel + initrd to /boot/efi. I will need to only update grub and update-initramfs. Am I missing something?<br>
<br>
Best Regards,<br>
Xavi<div class="HOEnZb"><div class="h5"><br>
<br>
On 24/08/16 18:30, Tyler Hicks wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 08/23/2016 06:47 AM, Xavier Pegenaute M2M wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Mark,<br>
<br>
actually, our goal is to provide hardware to be delivered on costumer<br>
premises but for this we need an extra layer of security. This is the<br>
reason we are considering the encryption solution.<br>
<br>
If it is possible our first and preferred solution is to encrypt as much<br>
as possible starting from rootfs.<br>
<br>
I guess I should port the cryptsetup package and dependencies to snap,<br>
but since I saw in your mailing list some references I wanted to be sure<br>
this is not already done or being in process.<br>
<br>
As a second step, AFAIK, I should modify the boot process to include<br>
support for partition decryption which again I am not sure this is<br>
already supported on snappy (crossing fingers xD ).<br>
</blockquote>
Will your devices have a display and a keyboard? Will a human always be<br>
present during the boot process (after a planned or unplanned reboot) to<br>
enter the password?<br>
<br>
If the answer is 'no' to either of those questions, there's more work to<br>
do in order to provide secure storage of the encryption key in a way<br>
that makes it automatically accessible during the boot process.<br>
<br>
Let us know what your needs are and we can at least capture the use case<br>
and requirements in a feature request bug so that we can try to support<br>
you when designing the storage encryption solution in the platform<br>
itself. Thanks!<br>
<br>
Tyler<br>
</blockquote>
<br>
<br></div></div><div class="HOEnZb"><div class="h5">
-- <br>
Snapcraft mailing list<br>
<a href="mailto:Snapcraft@lists.snapcraft.io" target="_blank">Snapcraft@lists.snapcraft.io</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/snapcraft" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailm<wbr>an/listinfo/snapcraft</a><br>
</div></div></blockquote></div><br></div></div>