Progetto

Generale

Profilo

DebianEncryptedFilesystem » Cronologia » Versione 1

Amministratore Truelite, 26-01-2006 17:06

1 1 Amministratore Truelite
= Come creare un filesystem cifrato su Debian =
2
3
== Una introduzione all'uso dei filesystem cifrati con il kernel 2.6 ==
4
5
In questo articolo vedremo come realizzare un filesystem cifrato da utilizzare per la registrazione dei dati che si desidera mantenere particolarmente protetti. Visto che una interpretazione della nuova normativa sulla privacy pare richiedere l'uso di un filesystem cifrato se i dati personali vengono mantenuti su un supporto rimuovibile, questo potrebbe avere una immediata applicazione pratica, in questa maniera infatti anche se il supporto venisse rubato non sarebbe possibile accedere al suo contenuto senza la conoscenza della password con cui lo si è protetto.
6
7
Le istruzioni faranno riferimento ad un sistema Debian; esse sono state provate su una Sid, ma il software citato dovrebbe essere disponibile anche su Sarge. In ogni caso le istruzioni, a parte quelle relative all'installazione dei vari programmi, dovrebbero essere facilmente applicabili a qualunque distribuzione. Il nostro scopo sarà allora quello di creare un filesystem cifrato su un file, e faremo riferimento al caso di una chiavetta USB; ma di nuovo i dati potrebbero usare qualunque altro tipo di supporto (purché dotato di capacità sufficiente).
8
9
Con il kernel 2.6 l'interfaccia per la creazione e l'utilizzo di filesystem cifrati è stata completamente rivoluzionata. Infatti la precedente interfaccia del cryptoloopback presentava notevoli problemi di sicurezza (si veda [http://lwn.net/Articles/67216/ questo articolo su LWN]) oltre che essere basata su del codice poco mantenuto e con notevoli problemi di prestazioni.
10
11
Nel kernel 2.6 per realizzare questa funzionalità è stato usato il device mapper, una infrastruttura generica del kernel che consente di mappare (in varie forme) diverse parti di uno o più dispositivi a blocchi su un altro dispositivo virtuale, che diventa visible come risultato della mappatura. L'uso più comune di questa infrastruttura quello del RAID software e del Logical Volume Manager (LVM).
12
13
Il nuovo supporto per la cifratura implementa una modalità di mappatura che permette di far passare l'accesso ad un dispositivo a blocchi (disco o altro) attraverso un algoritmo di cifratura; in questo modo i dati vengano scritti fisicamente sul dispositivo in forma cifrata, ma sono accessibili in chiaro quando vengono acceduti attraverso il dispositivo virtuale su cui questo è stato mappato.
14
15
Se si utilizza un proprio kernel compilato dai sorgenti il primo passo è avere cura di abilitare il supporto per il device mapper, e all'interno di questo quello per il relativo modulo che fornisce per la cifratura dei dati; questo si fa nella sezione:
16
{{{
17
  Device Drivers --> Multi-device support (RAID and LVM). 
18
}}}
19
inoltre si dovranno abilitare i vari moduli degli algoritmi crittografici, che sono elencati nella sezione:
20
{{{
21
  Cryptographic options 
22
}}}
23
in genere questo passaggio non è necessario con i kernel standard distribuiti da Debian, dove detti moduli sono già presenti.
24
25
Una volta che si disponga di un kernel con l'adeguato supporto il passo successivo è installare i programmi in user-space per la gestione del device mapper, il primo di questi è dmsetup che si ottiene semplicemente con:
26
{{{
27
apt-get install dmsetup
28
}}}
29
Questo comando ci permette di vedere quali modalità di funzionamento del device mapper sono disponibili nel kernel che sta girando, otterremo così un elenco delle stesse con:
30
{{{
31
monk:/home/piccardi# dmsetup targets
32
striped          v1.0.1
33
linear           v1.0.1
34
error            v1.0.1
35
}}}
36
A questo punto se vogliamo usare il supporto per la cifratura occorre inserire il relativo modulo, questo si fa con:
37
{{{
38
monk:/home/piccardi# modprobe dm-crypt
39
}}}
40
e potremo controllare che sia tutto a posto con:
41
{{{
42
monk:/home/piccardi# dmsetup targets
43
crypt            v1.1.0
44
striped          v1.0.1
45
linear           v1.0.1
46
error            v1.0.1
47
}}}
48
Il passo successivo è inserire i moduli per gli algoritmi di cifratura. Gli algoritmi sono molti e spesso la scelta è solo questione di gusti personali, nel nostro caso prenderemo l'AES, per cui dovremo caricare il relativo modulo con:
49
{{{
50
monk:~# modprobe aes
51
}}}
52
e potremo verificare la presenza del supporto con:
53
{{{
54
monk:/home/piccardi# cat /proc/crypto
55
name         : md5
56
module       : kernel
57
type         : digest
58
blocksize    : 64
59
digestsize   : 16
60
61
name         : aes
62
module       : aes_i586
63
type         : cipher
64
blocksize    : 16
65
min keysize  : 16
66
max keysize  : 32
67
}}}
68
Per creare un filesystem cifrato si può usare direttamente dmsetup, ma il procedimento per eseguire una mappatura a mano è piuttosto macchinoso, per questo il sistema più semplice installare cryptsetup, un ulteriore programma fornito dallo stesso autore del supporto per la cifratura:
69
{{{
70
apt-get install cryptsetup 
71
}}}
72
A questo punto occorre scegliere dove si intende creare il nostro filesystem cifrato. Se si dispone di un dispositivo ad hoc (ad esempio una chiavetta USB) si potrà cifrare l'intero dispositivo con il comando:
73
{{{
74
monk:~# cryptsetup -y create reserved /dev/sda1
75
}}}
76
L'opzione -y è quella che richiede una doppia immissione della password (la seconda volta è per conferma, se non si usa la stessa il comando fallisce) con la quale saranno cifrati i contenuti. La prima volta che si utilizza un dispositivo cifrato è importante usare questa opzione per evitare di usare una password con eventuali errori di battitura, senza la quale non si potrebbero più recuperare i dati in un secondo tempo.
77
78
Fatto questo si potrà notare come sotto la directory /dev/mapper sarà comparso il file reserved che è il dispositivo su cui andremo ad operare in chiaro. Si tenga presente che il funzionamento del device mapper cifrato non esegue nessun controllo sul contenuto del dispositivo (o del file) su cui abbiamo memorizzato i nostri dati; l'uso di cryptsetup create si limita a creare la mappatura e a cifrare-decifrare tutto quello che scriviamo/leggiamo con la password specificata. La cifratura è del tutto trasparente per i programmi che accedono al dispositivo sotto /dev/mapper come se fosse un qualunque altro dispositivo (perciò per poterlo utilizzare dovrà essere formattato con un filesystem, montato, ecc.).
79
80
L'uso di cryptsetup permette di creare un dispositivo cifrato solo su una partizione o dispositivo fisico; il problema è che non funziona con un semplice file come per il supporto dei filesystem cifrati dei kernel precedenti. Se si vuole dedicare un intero dispositivo ad un filesystem cifrato questo non è un problema, ed anzi si avranno senz'altro delle prestazioni superiori, qualora però si voglia usare un dispositivo (ad esempio una chiavetta USB) anche per altro tutto questo diventa un problema.
81
82
Per risolvere anche questa difficoltà si può allora usare ancora il dispositivo di loopback, che in questo caso non si incaricherà più di gestire la cifratura (con i problemi che questo comportava) ma semplicemente permetterà di usare /dev/loop come dispositivo associato al contenuto di un certo file.
83
84
In questo caso il primo passo da fare è creare il file che conterrà i nostri dati; per questo il file deve essere inizializzato con degli zeri. Per avere un filesystem cifrato da 50Mib si potrà allora usare il seguente comando per creare un file vuoto di queste dimensioni:
85
{{{
86
dd if=/dev/zero of=cryptofile bs=1024k count=50
87
}}}
88
a questo punto occorre associare il file ad un dispositivo di loopback; questo si fa con il programma losetup, usando un comando del tipo:
89
{{{
90
losetup /dev/loop1 cryptofile
91
}}}
92
a questo punto si può riutilizzare il supporto crittografico del device mapper usando il device /dev/loop1 appena creato con il comando:
93
{{{
94
cryptsetup -y create reserved /dev/loop1
95
}}}
96
e di nuovo avremo il dispositivo /dev/mapper/reserved sul quale operare in chiaro, mentre i dati saranno cifrati all'interno del nostro file.
97
98
Il comando cryptsetup prevede diverse altre opzioni, in particolare si può usare -c per indicare il nome dell'algoritmo di cifratura da utilizzare (fra quelli eventualmente presenti in /proc/crypto). Di default viene usato proprio l'AES, che è il motivo per cui non si è utilizzata questa opzione.
99
100
Inoltre si può verificare l'avvenuta mappatura del dispositivo con il comando:
101
{{{
102
monk:/home/piccardi# dmsetup ls
103
vg-usr  (254, 0)
104
vg-var  (254, 1)
105
reserved        (254, 3)
106
vg-home (254, 2)
107
}}}
108
che ci mostra come insieme ai volumi logici di LVM sia presente anche il nostro dispositivo cifrato; si può verificare lo stato di quest'ultimo con:
109
{{{
110
monk:/home/piccardi# cryptsetup status /dev/mapper/reserved
111
/dev/mapper//dev/mapper/reserved is active:
112
  cipher:  aes-cbc-plain
113
  keysize: 256 bits
114
  device:  /dev/loop1
115
  offset:  0 sectors
116
  size:    102400 sectors
117
  mode:    read/write
118
}}}
119
Una volta che abbiamo definito il nostro dispositivo cifrato lo potremo formattare; se scegliamo di usare un filesystem ext3 potremo farlo con il comando:
120
{{{
121
monk:~# mkfs.ext3 /dev/mapper/reserved
122
mke2fs 1.36-rc5 (27-Jan-2005)
123
Filesystem label=
124
OS type: Linux
125
Block size=1024 (log=0)
126
Fragment size=1024 (log=0)
127
12824 inodes, 51200 blocks
128
2560 blocks (5.00%) reserved for the super user
129
First data block=1
130
7 block groups
131
8192 blocks per group, 8192 fragments per group
132
1832 inodes per group
133
Superblock backups stored on blocks:
134
        8193, 24577, 40961
135
136
Writing inode tables: done
137
Creating journal (4096 blocks): done
138
Writing superblocks and filesystem accounting information: done
139
140
This filesystem will be automatically checked every 24 mounts or
141
180 days, whichever comes first.  Use tune2fs -c or -i to override.
142
}}}
143
L'ultimo passo è montare il nostro dispositivo che contiene il filesystem cifrato; per questo sarà sufficiente il comando:
144
{{{
145
mount /dev/mapper/reserved /mnt/crypto
146
}}}
147
e potremo operarvi creando nuovi file.
148
149
Una volta completate le nostre operazioni potremo smontare il disco cifrato e poi cancellare la mappatura con:
150
{{{
151
cryptsetup remove reserved /dev/loop1
152
}}}
153
infine si potrà rimuovere, se si è usato un file, l'associazione dello stesso con il dispositivo di loopback con:
154
{{{
155
losetup -d /dev/loop1
156
}}}
157
A questo punto per poter riaccedere di nuovo al contenuto in chiaro del filesystem dovremo ripetere la creazione del dispositivo cifrato con il comando cryptsetup create (ed eventualmente la creazione del loopback). In questo caso non sarà più necessario usare l'opzione -y in quanto la password dovrà essere quella usata in precedenza.
158
159
Si tenga presente che il device mapper non controlla mai se la password è giusta o meno, si limita a creare una mappatura fra un dispositivo fisico ed uno virtuale cifrando (se si scrive) o decifrando (se si legge) con la password che gli si è data. Pertanto ci si accorgerà di un eventuale errore di digitazione della password solo quando si andrà a cercare di montare il dispositivo, ottenendo un errore di filesystem non riconosciuto, in quanto i dati, non avendo usato la password giusta, non saranno decifrati correttamente e non avranno alcun significato.
160
161
Alcune risorse:
162
163
[http://www.saout.de/misc/dm-crypt/ Home page del ''crypto device mapper'']
164
165
[http://www.saout.de/tikiwiki/tiki-index.php Wiki con HOWTO e documentazione]
166
167
[http://kerneltrap.org/node/view/2433 Una discussione sulla nuova interfaccia]
168
169
[http://deb.riseup.net/storage/encryption/dmcrypt/ Una guida sui dischi cifrati in Debian]