Progetto

Generale

Profilo

DebianEncryptedFilesystem » Cronologia » Versione 3

Amministratore Truelite, 08-03-2006 15:42

1 2 Amministratore Truelite
[[TracNav(TOC)]]
2 1 Amministratore Truelite
3 3 Amministratore Truelite
h1. Come creare un filesystem cifrato su Debian
4
5
6 1 Amministratore Truelite
In questo articolo vedremo come realizzare un filesystem cifrato da utilizzare per la registrazione dei dati che si desidera mantenere particolarmente protetti. Visto che una interpretazione della nuova normativa sulla privacy pare richiedere l'uso di un filesystem cifrato se i dati personali vengono mantenuti su un supporto rimuovibile, questo potrebbe avere una immediata applicazione pratica, in questa maniera infatti anche se il supporto venisse rubato non sarebbe possibile accedere al suo contenuto senza la conoscenza della password con cui lo si è protetto.
7
8
Le istruzioni faranno riferimento ad un sistema Debian; esse sono state provate su una Sid, ma il software citato dovrebbe essere disponibile anche su Sarge. In ogni caso le istruzioni, a parte quelle relative all'installazione dei vari programmi, dovrebbero essere facilmente applicabili a qualunque distribuzione. Il nostro scopo sarà allora quello di creare un filesystem cifrato su un file, e faremo riferimento al caso di una chiavetta USB; ma di nuovo i dati potrebbero usare qualunque altro tipo di supporto (purché dotato di capacità sufficiente).
9
10 3 Amministratore Truelite
Con il kernel 2.6 l'interfaccia per la creazione e l'utilizzo di filesystem cifrati è stata completamente rivoluzionata. Infatti la precedente interfaccia del cryptoloopback presentava notevoli problemi di sicurezza (si veda "questo articolo su LWN":http://lwn.net/Articles/67216/) oltre che essere basata su del codice poco mantenuto e con notevoli problemi di prestazioni.
11 1 Amministratore Truelite
12
Nel kernel 2.6 per realizzare questa funzionalità è stato usato il device mapper, una infrastruttura generica del kernel che consente di mappare (in varie forme) diverse parti di uno o più dispositivi a blocchi su un altro dispositivo virtuale, che diventa visible come risultato della mappatura. L'uso più comune di questa infrastruttura quello del RAID software e del Logical Volume Manager (LVM).
13
14
Il nuovo supporto per la cifratura implementa una modalità di mappatura che permette di far passare l'accesso ad un dispositivo a blocchi (disco o altro) attraverso un algoritmo di cifratura; in questo modo i dati vengano scritti fisicamente sul dispositivo in forma cifrata, ma sono accessibili in chiaro quando vengono acceduti attraverso il dispositivo virtuale su cui questo è stato mappato.
15
16
Se si utilizza un proprio kernel compilato dai sorgenti il primo passo è avere cura di abilitare il supporto per il device mapper, e all'interno di questo quello per il relativo modulo che fornisce per la cifratura dei dati; questo si fa nella sezione:
17 3 Amministratore Truelite
<pre>
18 1 Amministratore Truelite
  Device Drivers --> Multi-device support (RAID and LVM). 
19 3 Amministratore Truelite
</pre>
20 1 Amministratore Truelite
inoltre si dovranno abilitare i vari moduli degli algoritmi crittografici, che sono elencati nella sezione:
21 3 Amministratore Truelite
<pre>
22 1 Amministratore Truelite
  Cryptographic options 
23 3 Amministratore Truelite
</pre>
24 1 Amministratore Truelite
in genere questo passaggio non è necessario con i kernel standard distribuiti da Debian, dove detti moduli sono già presenti.
25
26
Una volta che si disponga di un kernel con l'adeguato supporto il passo successivo è installare i programmi in user-space per la gestione del device mapper, il primo di questi è dmsetup che si ottiene semplicemente con:
27 3 Amministratore Truelite
<pre>
28 1 Amministratore Truelite
apt-get install dmsetup
29 3 Amministratore Truelite
</pre>
30 1 Amministratore Truelite
Questo comando ci permette di vedere quali modalità di funzionamento del device mapper sono disponibili nel kernel che sta girando, otterremo così un elenco delle stesse con:
31 3 Amministratore Truelite
<pre>
32 1 Amministratore Truelite
monk:/home/piccardi# dmsetup targets
33
striped          v1.0.1
34
linear           v1.0.1
35
error            v1.0.1
36 3 Amministratore Truelite
</pre>
37 1 Amministratore Truelite
A questo punto se vogliamo usare il supporto per la cifratura occorre inserire il relativo modulo, questo si fa con:
38 3 Amministratore Truelite
<pre>
39 1 Amministratore Truelite
monk:/home/piccardi# modprobe dm-crypt
40 3 Amministratore Truelite
</pre>
41 1 Amministratore Truelite
e potremo controllare che sia tutto a posto con:
42 3 Amministratore Truelite
<pre>
43 1 Amministratore Truelite
monk:/home/piccardi# dmsetup targets
44
crypt            v1.1.0
45
striped          v1.0.1
46
linear           v1.0.1
47
error            v1.0.1
48 3 Amministratore Truelite
</pre>
49 1 Amministratore Truelite
Il passo successivo è inserire i moduli per gli algoritmi di cifratura. Gli algoritmi sono molti e spesso la scelta è solo questione di gusti personali, nel nostro caso prenderemo l'AES, per cui dovremo caricare il relativo modulo con:
50 3 Amministratore Truelite
<pre>
51 1 Amministratore Truelite
monk:~# modprobe aes
52 3 Amministratore Truelite
</pre>
53 1 Amministratore Truelite
e potremo verificare la presenza del supporto con:
54 3 Amministratore Truelite
<pre>
55 1 Amministratore Truelite
monk:/home/piccardi# cat /proc/crypto
56
name         : md5
57
module       : kernel
58
type         : digest
59
blocksize    : 64
60
digestsize   : 16
61
62
name         : aes
63
module       : aes_i586
64
type         : cipher
65
blocksize    : 16
66
min keysize  : 16
67
max keysize  : 32
68 3 Amministratore Truelite
</pre>
69 1 Amministratore Truelite
Per creare un filesystem cifrato si può usare direttamente dmsetup, ma il procedimento per eseguire una mappatura a mano è piuttosto macchinoso, per questo il sistema più semplice installare cryptsetup, un ulteriore programma fornito dallo stesso autore del supporto per la cifratura:
70 3 Amministratore Truelite
<pre>
71 1 Amministratore Truelite
apt-get install cryptsetup 
72 3 Amministratore Truelite
</pre>
73 1 Amministratore Truelite
A questo punto occorre scegliere dove si intende creare il nostro filesystem cifrato. Se si dispone di un dispositivo ad hoc (ad esempio una chiavetta USB) si potrà cifrare l'intero dispositivo con il comando:
74 3 Amministratore Truelite
<pre>
75 1 Amministratore Truelite
monk:~# cryptsetup -y create reserved /dev/sda1
76 3 Amministratore Truelite
</pre>
77 1 Amministratore Truelite
L'opzione -y è quella che richiede una doppia immissione della password (la seconda volta è per conferma, se non si usa la stessa il comando fallisce) con la quale saranno cifrati i contenuti. La prima volta che si utilizza un dispositivo cifrato è importante usare questa opzione per evitare di usare una password con eventuali errori di battitura, senza la quale non si potrebbero più recuperare i dati in un secondo tempo.
78
79
Fatto questo si potrà notare come sotto la directory /dev/mapper sarà comparso il file reserved che è il dispositivo su cui andremo ad operare in chiaro. Si tenga presente che il funzionamento del device mapper cifrato non esegue nessun controllo sul contenuto del dispositivo (o del file) su cui abbiamo memorizzato i nostri dati; l'uso di cryptsetup create si limita a creare la mappatura e a cifrare-decifrare tutto quello che scriviamo/leggiamo con la password specificata. La cifratura è del tutto trasparente per i programmi che accedono al dispositivo sotto /dev/mapper come se fosse un qualunque altro dispositivo (perciò per poterlo utilizzare dovrà essere formattato con un filesystem, montato, ecc.).
80
81
L'uso di cryptsetup permette di creare un dispositivo cifrato solo su una partizione o dispositivo fisico; il problema è che non funziona con un semplice file come per il supporto dei filesystem cifrati dei kernel precedenti. Se si vuole dedicare un intero dispositivo ad un filesystem cifrato questo non è un problema, ed anzi si avranno senz'altro delle prestazioni superiori, qualora però si voglia usare un dispositivo (ad esempio una chiavetta USB) anche per altro tutto questo diventa un problema.
82
83
Per risolvere anche questa difficoltà si può allora usare ancora il dispositivo di loopback, che in questo caso non si incaricherà più di gestire la cifratura (con i problemi che questo comportava) ma semplicemente permetterà di usare /dev/loop come dispositivo associato al contenuto di un certo file.
84
85
In questo caso il primo passo da fare è creare il file che conterrà i nostri dati; per questo il file deve essere inizializzato con degli zeri. Per avere un filesystem cifrato da 50Mib si potrà allora usare il seguente comando per creare un file vuoto di queste dimensioni:
86 3 Amministratore Truelite
<pre>
87 1 Amministratore Truelite
dd if=/dev/zero of=cryptofile bs=1024k count=50
88 3 Amministratore Truelite
</pre>
89 1 Amministratore Truelite
a questo punto occorre associare il file ad un dispositivo di loopback; questo si fa con il programma losetup, usando un comando del tipo:
90 3 Amministratore Truelite
<pre>
91 1 Amministratore Truelite
losetup /dev/loop1 cryptofile
92 3 Amministratore Truelite
</pre>
93 1 Amministratore Truelite
a questo punto si può riutilizzare il supporto crittografico del device mapper usando il device /dev/loop1 appena creato con il comando:
94 3 Amministratore Truelite
<pre>
95 1 Amministratore Truelite
cryptsetup -y create reserved /dev/loop1
96 3 Amministratore Truelite
</pre>
97 1 Amministratore Truelite
e di nuovo avremo il dispositivo /dev/mapper/reserved sul quale operare in chiaro, mentre i dati saranno cifrati all'interno del nostro file.
98
99
Il comando cryptsetup prevede diverse altre opzioni, in particolare si può usare -c per indicare il nome dell'algoritmo di cifratura da utilizzare (fra quelli eventualmente presenti in /proc/crypto). Di default viene usato proprio l'AES, che è il motivo per cui non si è utilizzata questa opzione.
100
101
Inoltre si può verificare l'avvenuta mappatura del dispositivo con il comando:
102 3 Amministratore Truelite
<pre>
103 1 Amministratore Truelite
monk:/home/piccardi# dmsetup ls
104
vg-usr  (254, 0)
105
vg-var  (254, 1)
106
reserved        (254, 3)
107
vg-home (254, 2)
108 3 Amministratore Truelite
</pre>
109 1 Amministratore Truelite
che ci mostra come insieme ai volumi logici di LVM sia presente anche il nostro dispositivo cifrato; si può verificare lo stato di quest'ultimo con:
110 3 Amministratore Truelite
<pre>
111 1 Amministratore Truelite
monk:/home/piccardi# cryptsetup status /dev/mapper/reserved
112
/dev/mapper//dev/mapper/reserved is active:
113
  cipher:  aes-cbc-plain
114
  keysize: 256 bits
115
  device:  /dev/loop1
116
  offset:  0 sectors
117
  size:    102400 sectors
118
  mode:    read/write
119 3 Amministratore Truelite
</pre>
120 1 Amministratore Truelite
Una volta che abbiamo definito il nostro dispositivo cifrato lo potremo formattare; se scegliamo di usare un filesystem ext3 potremo farlo con il comando:
121 3 Amministratore Truelite
<pre>
122 1 Amministratore Truelite
monk:~# mkfs.ext3 /dev/mapper/reserved
123
mke2fs 1.36-rc5 (27-Jan-2005)
124
Filesystem label=
125
OS type: Linux
126
Block size=1024 (log=0)
127
Fragment size=1024 (log=0)
128
12824 inodes, 51200 blocks
129
2560 blocks (5.00%) reserved for the super user
130
First data block=1
131
7 block groups
132
8192 blocks per group, 8192 fragments per group
133
1832 inodes per group
134
Superblock backups stored on blocks:
135
        8193, 24577, 40961
136
137
Writing inode tables: done
138
Creating journal (4096 blocks): done
139
Writing superblocks and filesystem accounting information: done
140
141
This filesystem will be automatically checked every 24 mounts or
142
180 days, whichever comes first.  Use tune2fs -c or -i to override.
143 3 Amministratore Truelite
</pre>
144 1 Amministratore Truelite
L'ultimo passo è montare il nostro dispositivo che contiene il filesystem cifrato; per questo sarà sufficiente il comando:
145 3 Amministratore Truelite
<pre>
146 1 Amministratore Truelite
mount /dev/mapper/reserved /mnt/crypto
147 3 Amministratore Truelite
</pre>
148 1 Amministratore Truelite
e potremo operarvi creando nuovi file.
149
150
Una volta completate le nostre operazioni potremo smontare il disco cifrato e poi cancellare la mappatura con:
151 3 Amministratore Truelite
<pre>
152 1 Amministratore Truelite
cryptsetup remove reserved /dev/loop1
153 3 Amministratore Truelite
</pre>
154 1 Amministratore Truelite
infine si potrà rimuovere, se si è usato un file, l'associazione dello stesso con il dispositivo di loopback con:
155 3 Amministratore Truelite
<pre>
156 1 Amministratore Truelite
losetup -d /dev/loop1
157 3 Amministratore Truelite
</pre>
158 1 Amministratore Truelite
A questo punto per poter riaccedere di nuovo al contenuto in chiaro del filesystem dovremo ripetere la creazione del dispositivo cifrato con il comando cryptsetup create (ed eventualmente la creazione del loopback). In questo caso non sarà più necessario usare l'opzione -y in quanto la password dovrà essere quella usata in precedenza.
159
160
Si tenga presente che il device mapper non controlla mai se la password è giusta o meno, si limita a creare una mappatura fra un dispositivo fisico ed uno virtuale cifrando (se si scrive) o decifrando (se si legge) con la password che gli si è data. Pertanto ci si accorgerà di un eventuale errore di digitazione della password solo quando si andrà a cercare di montare il dispositivo, ottenendo un errore di filesystem non riconosciuto, in quanto i dati, non avendo usato la password giusta, non saranno decifrati correttamente e non avranno alcun significato.
161
162
Alcune risorse:
163
164 3 Amministratore Truelite
"Home page del _crypto device mapper_":http://www.saout.de/misc/dm-crypt/
165 1 Amministratore Truelite
166 3 Amministratore Truelite
"Wiki con HOWTO e documentazione":http://www.saout.de/tikiwiki/tiki-index.php
167 1 Amministratore Truelite
168 3 Amministratore Truelite
"Una discussione sulla nuova interfaccia":http://kerneltrap.org/node/view/2433
169 1 Amministratore Truelite
170 3 Amministratore Truelite
"Una guida sui dischi cifrati in Debian":http://deb.riseup.net/storage/encryption/dmcrypt/