Projekt Mini-PC mit spezifischer Software

Hallo zusammen,

unzwar habe ich folgendes Vorhaben.

Ich möchte auf einen von mir gebauten „Mini-PC“ aus einem Rasberry mit Touch Display eine bestimmte Software laufen lassen.

Wenn man diese Software öffnet, hat man die Möglichkeit, sich einen Account zu erstellen, in welchem man sich auch immer wieder mit Benutzernamen und Passwort einloggen kann. Dieser Account sollte verschlüsselt sein, sodass ein fremder nicht in den Account gelangen kann.

Meine Anforderungen sind, dass man beim hochfahren des Gerätes nur die Oberfläche der Software sieht, darin arbeiten und sie auch nicht verlassen kann (ohne ein „Master-Passwort“ oder Ähnliches). Admin Rechte sollte nur ich besitzen.

Ich möchte diesen „min-PC“ nämlich auch an Kunden weitergeben und der Kunde sollte nur die Möglichkeit haben in der Software zu arbeiten und niemals in das Main System zu gelangen.

Der „Mini-PC“ läuft komplett offline also ohne Internet oder ähnliches und besitzt als Schnittstelle nur USB-C und eine Kamera.

Updates sollten nur von mir aufgespielt werden können, wenn der Kunde den „Mini-PC“ vorbeibringt.

Wie geht man dies am besten an?

Welches Betriebssystem eigenet sich dafür am besten?

Gibt es irgendwelche Tricks oder wichtige Punkte, die man beachten sollte?

Vielen Dank für eure Hilfe.

Quote from KKoPi

Denkst Du da an ein versiegeltes Gehäuse?!

Echte eigenständige Software oder Web-Page mit Login/Verwaltung etc.?

So versiegelt, dass sich der Akku zumdindest austauschen lassen lässt

Genau eine echte eigenständige Software.

Quote from __deets__

Der PI ist fuer so etwas prinzipiell nicht geeignet, weil er ueber kein Trusted Platform Module verfuegt. Nur damit kann man (wenn man entsprechend viel zahlt) dafuer sorgen, dass der Bootloader nur von dir signierte Software startet. Da der PI das nicht hat, kann da jeder die SD-Karte rauspulen, und an der Software schrauben. Du kannst also nur versuchen, das mechanisch zu erschweren.

Oder ich baue ein TPM ein und kombiniere dies mit einem Kiosk Mode '
Ich glaube, um ein Trusted Platform Module komme ich nicht rum, alleine wegen den Sicherheitsanforderungen.

Quote from __deets__

Ich wuesste jetzt nicht, wie man so ein TPM einbaut. Es geht jedenfalls nicht auf der Ebene "alles auf der SD-Karte ist manipulationssicher". Du kannst natuerlich dem PI und seiner Software misstrauen, und ein externes Modul mittels einer Schnittstelle anhaengen. Und die Sicherheitsrelevanten Teile der Anwendung darauf auslagern. ZB der Auto-motive-Bereich hat Microcontroller im Angebot, die das auslesen und programmieren erst erlauben, wenn man einen Schluessel vorweist. Sonst zerstoeren die sich von selbst nach einer bestimmten Anzahl von Ausleseversuchen.

Ein Microcontroller das auslesen und programmieren erst erlaubt, wenn man einen Schlüssel vorweist wäre natürlich auch optimal. Kannst du da einen Microcontroller empfehlen?

Aktuell suche ich noch eine Person, welche sich gut mit (portabler) Hardware auskennt und Entscheidungen treffen kann welche Bauteile sich dafür am besten Eignen. Das Thema Verschlüsselung sollte auch kein Fremdwort sein.

Die Software möchte ich von dem Raspberry auf ein portables Gerät welches die maximale Größe von etwa einem Smartphone aufweisen soll verschieben.

Ich/wir hätten gerne noch jemanden in unserem Start-up, welcher sich gut in diesem Thema auskennt. Natürlich erhält die Person auch Anteile an unserer Firma.

Gerne könnt Ihr mich über privat Message kontaktieren.