Progetto

Generale

Profilo

DebianEncryptedFilesystem » Cronologia » Versione 2

Amministratore Truelite, 08-03-2006 15:42

1 2 Amministratore Truelite
[[TracNav(TOC)]]
2 1 Amministratore Truelite
= Come creare un filesystem cifrato su Debian =
3
4
In questo articolo vedremo come realizzare un filesystem cifrato da utilizzare per la registrazione dei dati che si desidera mantenere particolarmente protetti. Visto che una interpretazione della nuova normativa sulla privacy pare richiedere l'uso di un filesystem cifrato se i dati personali vengono mantenuti su un supporto rimuovibile, questo potrebbe avere una immediata applicazione pratica, in questa maniera infatti anche se il supporto venisse rubato non sarebbe possibile accedere al suo contenuto senza la conoscenza della password con cui lo si è protetto.
5
6
Le istruzioni faranno riferimento ad un sistema Debian; esse sono state provate su una Sid, ma il software citato dovrebbe essere disponibile anche su Sarge. In ogni caso le istruzioni, a parte quelle relative all'installazione dei vari programmi, dovrebbero essere facilmente applicabili a qualunque distribuzione. Il nostro scopo sarà allora quello di creare un filesystem cifrato su un file, e faremo riferimento al caso di una chiavetta USB; ma di nuovo i dati potrebbero usare qualunque altro tipo di supporto (purché dotato di capacità sufficiente).
7
8
Con il kernel 2.6 l'interfaccia per la creazione e l'utilizzo di filesystem cifrati è stata completamente rivoluzionata. Infatti la precedente interfaccia del cryptoloopback presentava notevoli problemi di sicurezza (si veda [http://lwn.net/Articles/67216/ questo articolo su LWN]) oltre che essere basata su del codice poco mantenuto e con notevoli problemi di prestazioni.
9
10
Nel kernel 2.6 per realizzare questa funzionalità è stato usato il device mapper, una infrastruttura generica del kernel che consente di mappare (in varie forme) diverse parti di uno o più dispositivi a blocchi su un altro dispositivo virtuale, che diventa visible come risultato della mappatura. L'uso più comune di questa infrastruttura quello del RAID software e del Logical Volume Manager (LVM).
11
12
Il nuovo supporto per la cifratura implementa una modalità di mappatura che permette di far passare l'accesso ad un dispositivo a blocchi (disco o altro) attraverso un algoritmo di cifratura; in questo modo i dati vengano scritti fisicamente sul dispositivo in forma cifrata, ma sono accessibili in chiaro quando vengono acceduti attraverso il dispositivo virtuale su cui questo è stato mappato.
13
14
Se si utilizza un proprio kernel compilato dai sorgenti il primo passo è avere cura di abilitare il supporto per il device mapper, e all'interno di questo quello per il relativo modulo che fornisce per la cifratura dei dati; questo si fa nella sezione:
15
{{{
16
  Device Drivers --> Multi-device support (RAID and LVM). 
17
}}}
18
inoltre si dovranno abilitare i vari moduli degli algoritmi crittografici, che sono elencati nella sezione:
19
{{{
20
  Cryptographic options 
21
}}}
22
in genere questo passaggio non è necessario con i kernel standard distribuiti da Debian, dove detti moduli sono già presenti.
23
24
Una volta che si disponga di un kernel con l'adeguato supporto il passo successivo è installare i programmi in user-space per la gestione del device mapper, il primo di questi è dmsetup che si ottiene semplicemente con:
25
{{{
26
apt-get install dmsetup
27
}}}
28
Questo comando ci permette di vedere quali modalità di funzionamento del device mapper sono disponibili nel kernel che sta girando, otterremo così un elenco delle stesse con:
29
{{{
30
monk:/home/piccardi# dmsetup targets
31
striped          v1.0.1
32
linear           v1.0.1
33
error            v1.0.1
34
}}}
35
A questo punto se vogliamo usare il supporto per la cifratura occorre inserire il relativo modulo, questo si fa con:
36
{{{
37
monk:/home/piccardi# modprobe dm-crypt
38
}}}
39
e potremo controllare che sia tutto a posto con:
40
{{{
41
monk:/home/piccardi# dmsetup targets
42
crypt            v1.1.0
43
striped          v1.0.1
44
linear           v1.0.1
45
error            v1.0.1
46
}}}
47
Il passo successivo è inserire i moduli per gli algoritmi di cifratura. Gli algoritmi sono molti e spesso la scelta è solo questione di gusti personali, nel nostro caso prenderemo l'AES, per cui dovremo caricare il relativo modulo con:
48
{{{
49
monk:~# modprobe aes
50
}}}
51
e potremo verificare la presenza del supporto con:
52
{{{
53
monk:/home/piccardi# cat /proc/crypto
54
name         : md5
55
module       : kernel
56
type         : digest
57
blocksize    : 64
58
digestsize   : 16
59
60
name         : aes
61
module       : aes_i586
62
type         : cipher
63
blocksize    : 16
64
min keysize  : 16
65
max keysize  : 32
66
}}}
67
Per creare un filesystem cifrato si può usare direttamente dmsetup, ma il procedimento per eseguire una mappatura a mano è piuttosto macchinoso, per questo il sistema più semplice installare cryptsetup, un ulteriore programma fornito dallo stesso autore del supporto per la cifratura:
68
{{{
69
apt-get install cryptsetup 
70
}}}
71
A questo punto occorre scegliere dove si intende creare il nostro filesystem cifrato. Se si dispone di un dispositivo ad hoc (ad esempio una chiavetta USB) si potrà cifrare l'intero dispositivo con il comando:
72
{{{
73
monk:~# cryptsetup -y create reserved /dev/sda1
74
}}}
75
L'opzione -y è quella che richiede una doppia immissione della password (la seconda volta è per conferma, se non si usa la stessa il comando fallisce) con la quale saranno cifrati i contenuti. La prima volta che si utilizza un dispositivo cifrato è importante usare questa opzione per evitare di usare una password con eventuali errori di battitura, senza la quale non si potrebbero più recuperare i dati in un secondo tempo.
76
77
Fatto questo si potrà notare come sotto la directory /dev/mapper sarà comparso il file reserved che è il dispositivo su cui andremo ad operare in chiaro. Si tenga presente che il funzionamento del device mapper cifrato non esegue nessun controllo sul contenuto del dispositivo (o del file) su cui abbiamo memorizzato i nostri dati; l'uso di cryptsetup create si limita a creare la mappatura e a cifrare-decifrare tutto quello che scriviamo/leggiamo con la password specificata. La cifratura è del tutto trasparente per i programmi che accedono al dispositivo sotto /dev/mapper come se fosse un qualunque altro dispositivo (perciò per poterlo utilizzare dovrà essere formattato con un filesystem, montato, ecc.).
78
79
L'uso di cryptsetup permette di creare un dispositivo cifrato solo su una partizione o dispositivo fisico; il problema è che non funziona con un semplice file come per il supporto dei filesystem cifrati dei kernel precedenti. Se si vuole dedicare un intero dispositivo ad un filesystem cifrato questo non è un problema, ed anzi si avranno senz'altro delle prestazioni superiori, qualora però si voglia usare un dispositivo (ad esempio una chiavetta USB) anche per altro tutto questo diventa un problema.
80
81
Per risolvere anche questa difficoltà si può allora usare ancora il dispositivo di loopback, che in questo caso non si incaricherà più di gestire la cifratura (con i problemi che questo comportava) ma semplicemente permetterà di usare /dev/loop come dispositivo associato al contenuto di un certo file.
82
83
In questo caso il primo passo da fare è creare il file che conterrà i nostri dati; per questo il file deve essere inizializzato con degli zeri. Per avere un filesystem cifrato da 50Mib si potrà allora usare il seguente comando per creare un file vuoto di queste dimensioni:
84
{{{
85
dd if=/dev/zero of=cryptofile bs=1024k count=50
86
}}}
87
a questo punto occorre associare il file ad un dispositivo di loopback; questo si fa con il programma losetup, usando un comando del tipo:
88
{{{
89
losetup /dev/loop1 cryptofile
90
}}}
91
a questo punto si può riutilizzare il supporto crittografico del device mapper usando il device /dev/loop1 appena creato con il comando:
92
{{{
93
cryptsetup -y create reserved /dev/loop1
94
}}}
95
e di nuovo avremo il dispositivo /dev/mapper/reserved sul quale operare in chiaro, mentre i dati saranno cifrati all'interno del nostro file.
96
97
Il comando cryptsetup prevede diverse altre opzioni, in particolare si può usare -c per indicare il nome dell'algoritmo di cifratura da utilizzare (fra quelli eventualmente presenti in /proc/crypto). Di default viene usato proprio l'AES, che è il motivo per cui non si è utilizzata questa opzione.
98
99
Inoltre si può verificare l'avvenuta mappatura del dispositivo con il comando:
100
{{{
101
monk:/home/piccardi# dmsetup ls
102
vg-usr  (254, 0)
103
vg-var  (254, 1)
104
reserved        (254, 3)
105
vg-home (254, 2)
106
}}}
107
che ci mostra come insieme ai volumi logici di LVM sia presente anche il nostro dispositivo cifrato; si può verificare lo stato di quest'ultimo con:
108
{{{
109
monk:/home/piccardi# cryptsetup status /dev/mapper/reserved
110
/dev/mapper//dev/mapper/reserved is active:
111
  cipher:  aes-cbc-plain
112
  keysize: 256 bits
113
  device:  /dev/loop1
114
  offset:  0 sectors
115
  size:    102400 sectors
116
  mode:    read/write
117
}}}
118
Una volta che abbiamo definito il nostro dispositivo cifrato lo potremo formattare; se scegliamo di usare un filesystem ext3 potremo farlo con il comando:
119
{{{
120
monk:~# mkfs.ext3 /dev/mapper/reserved
121
mke2fs 1.36-rc5 (27-Jan-2005)
122
Filesystem label=
123
OS type: Linux
124
Block size=1024 (log=0)
125
Fragment size=1024 (log=0)
126
12824 inodes, 51200 blocks
127
2560 blocks (5.00%) reserved for the super user
128
First data block=1
129
7 block groups
130
8192 blocks per group, 8192 fragments per group
131
1832 inodes per group
132
Superblock backups stored on blocks:
133
        8193, 24577, 40961
134
135
Writing inode tables: done
136
Creating journal (4096 blocks): done
137
Writing superblocks and filesystem accounting information: done
138
139
This filesystem will be automatically checked every 24 mounts or
140
180 days, whichever comes first.  Use tune2fs -c or -i to override.
141
}}}
142
L'ultimo passo è montare il nostro dispositivo che contiene il filesystem cifrato; per questo sarà sufficiente il comando:
143
{{{
144
mount /dev/mapper/reserved /mnt/crypto
145
}}}
146
e potremo operarvi creando nuovi file.
147
148
Una volta completate le nostre operazioni potremo smontare il disco cifrato e poi cancellare la mappatura con:
149
{{{
150
cryptsetup remove reserved /dev/loop1
151
}}}
152
infine si potrà rimuovere, se si è usato un file, l'associazione dello stesso con il dispositivo di loopback con:
153
{{{
154
losetup -d /dev/loop1
155
}}}
156
A questo punto per poter riaccedere di nuovo al contenuto in chiaro del filesystem dovremo ripetere la creazione del dispositivo cifrato con il comando cryptsetup create (ed eventualmente la creazione del loopback). In questo caso non sarà più necessario usare l'opzione -y in quanto la password dovrà essere quella usata in precedenza.
157
158
Si tenga presente che il device mapper non controlla mai se la password è giusta o meno, si limita a creare una mappatura fra un dispositivo fisico ed uno virtuale cifrando (se si scrive) o decifrando (se si legge) con la password che gli si è data. Pertanto ci si accorgerà di un eventuale errore di digitazione della password solo quando si andrà a cercare di montare il dispositivo, ottenendo un errore di filesystem non riconosciuto, in quanto i dati, non avendo usato la password giusta, non saranno decifrati correttamente e non avranno alcun significato.
159
160
Alcune risorse:
161
162
[http://www.saout.de/misc/dm-crypt/ Home page del ''crypto device mapper'']
163
164
[http://www.saout.de/tikiwiki/tiki-index.php Wiki con HOWTO e documentazione]
165
166
[http://kerneltrap.org/node/view/2433 Una discussione sulla nuova interfaccia]
167
168
[http://deb.riseup.net/storage/encryption/dmcrypt/ Una guida sui dischi cifrati in Debian]