クライアントにブートできるフラッシュドライブを提供したいと思います。これには、独自のカスタマイズの読み取り専用オペレーティングシステム(おそらくLinux)が含まれます。すべてのブートで、それは白紙の状態から始まります。
現在の設定では、ドライブに物理的にアクセスできる人が書き込み保護スイッチを切り替え、自分のサーバーをコールバックするコードを挿入し、スイッチを元に戻すと、コードが挿入されたことを検出できる場合と検出できない場合があります。ブート時にOSが改ざんされて、注入されたファイルがブート整合性チェックサムから隠されたり、チェックサムルーチンが変更されて注入ファイルがチェックされない可能性があるため.
フラッシュドライブにパスワードを設定したいので、パスワードを入力した場合にのみ書き込み保護を無効にできます。
(私が使用したモデルドライブの書き込み保護スイッチは、リセットボタンのように個別です。スイッチに到達してスイッチを切り替えるには、ペンまたは何かをスロットに差し込む必要があります)
これまでのところ、ユーザーが悪意のあるファイルをダウンロードしないという要件を満たしている最善の解決策は、物理的な書き込み保護スイッチを備えたフラッシュドライブを入手し、硬化するコーティングを施すことです。 (同様のコートがレンチなどのツールハンドルをカバーするために市販されています)
ハッカーが物理的にアクセスできる場合、この設定には2つの結果が考えられます。
USBフラッシュドライブコントローラーは、多くの場合、ソフトウェアを介して変更できます。書き込み保護スイッチは、実際にはおそらくソフトウェア機能です。フラッシュコントローラへのアクセスが可能な場合は、ソフトウェアで書き込み保護スイッチを無効にすることができます。
フラッシュドライブのユーザーが意図的に書き込み保護を無効にすることを防ぐことに関しては、それはかなり難しいです。元のxboxにはオンチップが搭載されていましたROM起動前にシステムファームウェアの完全性を検証し、さらにクラックが発生しました。書き込み保護回路をはんだ付けして有効にすることもできます。ユーザーが望む場合フラッシュチップをはんだ吸取して別のフラッシュドライブに挿入し、書き込みができるようにすると、停止できなくなると思います。同じモデルの新しいフラッシュドライブを購入してコピーするのを止めるにはどうすればよいですか。読み取り専用のフラッシュドライブからそれに至るまでのすべて?
あなたはtruecryptでUSBドライブを暗号化し、それを保護するためにtruecrypt内にディストリビューションをインストールすることができます。これは書き込み保護された要件を満たしませんが、他のすべてのことを考慮すると、最良のオプションのようです。
https://kb.berkeley.edu/jivekb/servlet/KbServlet/download/1625-102-55/
あなたが安全なフラッシュドライブをググるなら、あなたはいくつかを見つけるでしょう。市販されているものの、希望どおりに動作するものは多くありません。
安全なUSBおよびフラッシュデバイスのカタログについては、 http://www.secureusb.co.uk/index.php を参照してください。