Universelle SD-Platte mit Trezor-T (sd-protect, Tails, EncFS)

[admin]

Up

0

Down

::

Ich habe kürzlich angefangen, mit dem [encfs_aes_getpass.py](https://github.com/trezor/trezor-firmware/blob/python/v0.13.0/python/tools/encfs_aes_getpass.py) herumzuspielen und habe mir interessante Verwendungsmöglichkeiten überlegt. Das hat mich schließlich dazu gebracht, eine universelle SD zu bauen, mit der ich ziemlich zufrieden bin. Ich habe sie in drei Konfigurationen unterteilt. Basic, Moderate, und Advanced. Das Basis-Setup ermöglicht eine Tails-SD, die auch die Trezor `sd-protect`-Dateien aufnehmen kann. In der Grundeinstellung ist die Partition, die in Windows sichtbar ist, in Tails schreibgeschützt. Das Moderate Setup ändert das Standard-Tails-Partitionslayout, so dass Sie eine Lese-/Schreibpartition erhalten, die sowohl in Tails als auch in Windows sichtbar ist, um Ihre „SD-Protect“-Dateien zu speichern. Die erweiterte Einstellung vergrößert einfach die Größe der Lese-/Schreibpartition und ist semetrisch.

### Basic

1. Herunterladen & Überprüfen [tails ISO](https://tails.boum.org/install/download/index.en.html)
2. Herunterladen, Überprüfen und [Install Etcher](https://tails.boum.org/install/win/usb/index.en.html)
3. SD flashen und booten
4. installieren [persistent storage](https://tails.boum.org/doc/first_steps/persistence/index.en.html) (Neustart auf SD)
5. [Install additional software](https://tails.boum.org/doc/first_steps/persistence/index.en.html) (encfs, python3-venv)
6. Verwenden Sie `gdisk`, um eine [hybrid MBR](https://tails.boum.org/contribute/design/UEFI/) auf Schwänze, die Teil #1 freilegen (super skizzenhaftes Hacking)
7. Verwenden Sie `fdisk`, um den Partitionstyp 0xEE in 0x42 zu ändern (vor Windows verstecken)
8. [Pair Electrum](https://wiki.trezor.io/Apps:Electrum) an Trezor
9. Installiere alle anderen Extras (siehe unten^(*)) auf Tails
10. [Verify TrezorCTL](https://wiki.trezor.io/Using_trezorctl_commands_with_Trezor#Get_features) mit Trezor
11. Booten Sie zurück zu Windows und [build EncFS](https://github.com/vgough/encfs/wiki/Windows#mainline-encfs-with-cygwin) für cygwin und Windows
12. [Install TrezorCTL in Windows](https://wiki.trezor.io/Installing_trezorctl_on_Windows), falls nicht bereits installiert
13. Verwendung von [encfs_aes_getpass.py](https://github.com/trezor/trezor-firmware/blob/python/v0.13.0/python/tools/encfs_aes_getpass.py) einen Ordner mit dem Namen `encfs.tz` auf SD initialisieren
14. SD in den Trezor stecken und [initialize sd-protect](https://wiki.trezor.io/User_manual:SD_card_protection)

OK… Jetzt haben Sie eine SD-Karte, die die folgenden Aktionen ausführen kann:

* Entsperren des Trezor
* Tails booten
* EncFS-Ordner unterbringen, den Sie in Tails LESEN und in Windows, Linux und Mac LESEN/ SCHREIBEN können

Sie können Dinge wie Ihre Bitcoin-„Walletdump“-Dateien und ähnliches in Ihrem verschlüsselten Volume „encfs.tz“ ablegen, aber lesen Sie weiter, um die Warnungen zu verstehen. Zum Zeitpunkt dieses Beitrags enthielt Tails (v4.25) Electrum (4.0.9) und TrezorCTL (v0.12.2) von Haus aus.

Um Ihren Trezor innerhalb von Tails zu lesen, legen Sie die SD-Karte ein, schließen Sie den Trezor an und entsperren Sie ihn, dann entfernen Sie die SD-Karte, um Tails zu starten, während der Trezor noch angeschlossen ist. Der Trezor bleibt entsperrt, bis der Inaktivitäts-Timer abläuft oder die USB-Stromversorgung des Trezor unterbrochen wird. Die SD-Karte wird nur zum Entsperren benötigt… genau wie die PIN.

### Moderat

1. Einfache Schritte 1-2 durchführen
2. Flashen Sie zwei SDs (util-sd und trezor-sd)
3. Trezor-sd booten und persistenten Speicher einrichten
4. util-sd booten und erste Partition auf trezor-sd verkleinern
5. FAT32-Partition in dem Loch auf der trezor-sd erstellen und formatieren (Partition #3)
6. Installieren Sie mit `gdisk` eine [hybrid MBR](https://tails.boum.org/contribute/design/UEFI/) auf Schwänze, die Teil #1 freilegen (super skizzenhaftes Hacking)
7. Trezor-sd booten und einfache Schritte 8 bis ENDE ausführen

Das endgültige Partitionslayout sieht dann so aus:

[ Tails ][ New Shared RW FAT32 Partition ][ TailsData ]

Nun ist die sichtbare Partition außerhalb von Tails READ/WRITE-fähig, aber auch READ/WRITE-fähig innerhalb von Tails (sobald sie gemountet ist). Ein weiterer Hack ist, dass man, wenn man die Partition vor der Einrichtung des persistenten Speichers vergrößert, ein größeres Loch in der Mitte der Platte für die gemeinsame Partition machen kann. Die Einrichtung des dauerhaften Speichers verwendet immer nur den „Rest“ der Festplatte. Es braucht mindestens 3,2 GiB für die Persistenz.

### Erweitert

Dadurch wird die Schreib-Lese-Partition lediglich größer und symetrisch.

1. Führen Sie die moderaten Schritte 1-2 durch
2. Boote util-sd und verschiebe die trezor-sd-Partition, so dass am Ende 3,2 GiB unpartitioniert bleiben
3. Mäßige Schritte 3 bis ENDE durchführen

### ^(*)Extras

Hier sind einige „Extras“, die Sie auf Ihrem Tails-Image installieren können.

1. Erstellen Sie eine [venv in persistence](https://www.reddit.com/r/TREZOR/comments/rqxuh0/comment/hqq1ikk/?utm_source=reddit&utm_medium=web2x&context=3)
2. Aktualisieren Sie pip, setuptools, wheel, trezor in venv
3. Herunterladen, Überprüfen und Installieren des neuesten Electrum-Tarballs in venv
4. Herunterladen, Überprüfen und [install Trezor Suite](https://www.reddit.com/r/TREZOR/comments/ruqzjd/running_trezor_suite_v21122_on_tails_v425/)
5. Überprüfung [trezor-tails repo](https://github.com/brianddk/trezor-tails) für Dinge wie die Installation von Chromium und Brave.

### Warnungen

Es ist vielleicht sicherer, die Typänderung in basic-step-#7 zu überspringen. Ich würde erwarten, dass der Kernel danach kein Root mehr hat, es ist ehrlich gesagt ein Wunder, dass er überhaupt noch funktioniert. Bei der moderaten und fortgeschrittenen Einstellung können Sie die Partition nicht neu tippen, da dies beim Booten zu einer Kernelpanik führt.

Zum größten Teil war dies nur ein Experiment. EncFS wird derzeit nicht mehr gewartet und das letzte [security audit](https://sourceforge.net/p/encfs/mailman/message/31849549/) im Jahr 2014 war nicht sehr schmeichelhaft. Ich würde VeraCrypt bevorzugen, aber sie sind [missing features](https://github.com/veracrypt/VeraCrypt/issues/867) für Trezor benötigt. Andere Warnungen beziehen sich auf den Hybrid-MBR. Tails hat dies ausdrücklich zugunsten saubererer Lösungen aufgegeben. Ich habe auch den MBR-Eintrag auf 0x42 (übergreifendes Dateisystem) statt auf 0xEE (schützendes GPT) gesetzt. Das Genie des Windows AutoMount-Dienstes fordert jedes Mal, wenn das Betriebssystem die 0xEE-Partition sieht, dazu auf, sie zu formatieren. Die Einstellung auf 0x42 führt dazu, dass AutoMount sie ignoriert, aber VolMgr denkt, dass irgendwo ein defektes übergreifendes Volume vorliegt. Sie werden das nicht sehen, es sei denn, Sie graben nach, aber wenn Sie graben, keine Panik, es ist der 0x42-Eintrag auf Ihrer SD. Ziehen Sie ihn einfach heraus und entspannen Sie sich. Vielleicht kann ich später eine Partitionstyp-ID finden, die Windows ignoriert, ohne das Fehlerprotokoll zu überschwemmen.

Der größte Teil des MBR-Chaos kann durch Hinzufügen von [GPT support to Trezor](https://github.com/trezor/trezor-firmware/issues/2044). Vielleicht ist es in Arbeit, aber ich könnte mir vorstellen, dass es eine ziemlich niedrige Priorität hat. Wenn es hinzugefügt wird, könnte der Windows-Zugang über das [Add-PartitionAccessPath](https://www.reddit.com/r/tails/comments/rqtq0c/howto_accessing_tails_usb_key_from_windows/) erfolgen. Einfach genug, aber nur ein weiterer hakeliger Klotz am Bein.

### Update

Ich habe diesen ganzen Beitrag zweimal neu geschrieben. Den ursprünglichen Entwurf finden Sie unter [found here](https://web.archive.org/web/20211231222704/https://www.reddit.com/r/TREZOR/comments/rqxuh0/universal_sd_disk_with_trezort_sdprotect_tails/), der [second draft here](https://archive.today/r1lhJ)

[Autor]

Beiträge