EncryptedFilesystemUsingLUKS » Cronologia » Versione 12
« Precedente |
Versione 12/30
(diff)
| Successivo »
Simone Piccardi, 06-12-2016 14:11
Come creare un filesystem cifrato usando LUKS¶
LUKS è un acronimo di "Linux Unified Key Setup" e si propone come lo standard per la crittografia dei dischi in sistemi linux (e non solo), offrendo un formato standard "on-disc", la possibilità di avere più di una coppia chiave-passphrase per l'accesso ed una gestione sicura di tutte le chiavi.
Un disco criptato con LUKS, nel caso lo si sia formattato con una filesystem compatibile (es. vfat) è accessibile anche dai sistemi Windows, usando FreeOTFE. Per utilizzarlo è necessaria una versione del programma cryptsetup
(usato anche per la cifratura diretta con ''dm-crypt'') che lo supporti, ma questa è ormai disponibile su tutte le distribuzioni recenti. Se ne può comunque verificare la presenza con il comando cryptsetup --help
controllando in coda la presenza delle opzioni relative a LUKS. Nel caso in cui il comando non fosse presente, su Debian lo si può installare semplicemente con:
apt-get install cryptsetup
A questo punto è possibile iniziare il lavoro di preparazione del dispositivo, nel nostro esempio prenderemo il caso una chiavetta USB rilevata dal sistema come /dev/sdc
.
La prima cosa da fare è verificare l'affidabilità del dispositivo ed, al tempo stesso, riempire tutto lo spazio disponibile con dei dati casuali rendendo di fatto molto più difficoltosi eventuali tentativi di attacco e compromissione del filesystem cifrato che verrà creato in seguito. Prima di iniziare, va tenuto presente il fatto che a seconda della dimensione del disco, questo processo può richiedere molte ore, quindi se dovete lanciarlo su di un disco molto grande, vi conviene farlo prima di andare a dormire.
badblocks -c 10240 -s -w -t random -v /dev/sdc
Se siete particolarmente paranoici potete utilizzare /dev/urandom
come sorgente di dati casuali e riempirci il disco. La casualità dei dati sarà migliore rispetto a quella del metodo precedente, ma l'operazione farà un uso intensivo della CPU e richiederà ancora più tempo. Il comando da eseguire è:
Il comando da eseguire è:
dd if=/dev/urandom of=/dev/sdc
Successivamente va partizionato il disco. In questo caso l'obiettivo è di creare un'unica partizione che occupi tutto lo spazio disponibile e per farlo ci sono diverse alternative, sia da linea di comando come fdisk
o cfdisk
che grafiche come gparted
e qtparted
. Si supponga comunque di aver creata una sola partizione, riconosciuta dal sistema come /dev/sdc1
.
A questo punto è possibile cifrare la partizione con LUKS e poi "agganciarla" al device-mapper, in modo che ''dm-crypt'' possa presentarla in maniera "trasparente" al sistema. E' molto importante la scelta di una passphrase abbastanza lunga e complessa poiché l'utilizzo di una frase corta e/o facilmente indovinabile vanificherebbe l'utilizzo della crittografia.
I comandi da eseguire sono quindi:
cryptsetup --verbose --verify-passphrase luksFormat /dev/sdc1 cryptsetup luksOpen /dev/sdc1 sdc1
Se tutto è andato a buon fine, l'esecuzione del comando ls -l /dev/mapper/
dovrebbe restituire il seguente output, confermando l'avvenuto "aggancio" della partizione criptata al device mapper:
total 0 crw------- 1 root root 10, 63 Jul 16 01:34 control brw-r----- 1 root root 253, 0 Jul 16 01:52 sdc1
Va quindi creato un filesystem sulla partizione criptata:
mkfs.ext3 -j -m 1 /dev/mapper/sdc1
e sarà possibile montarlo con:
mount /dev/mapper/sdc1 /mnt
mentre i comandi per smontare filesystem e partizione criptata sono:
umount /mnt cryptsetup luksClose /dev/mapper/sdc1
Le distribuzioni sufficientemente moderne usano hal, d-bus e gnome-volume-manager (o l'equivalente per KDE) per la gestione dei volumi disponibili nel sistema: quando viene collegata al sistema la chiavetta USB contenente la partizione crittografata con LUKS, questa viene riconosciuta e compare una finestra che chiede di inserire la passphrase.
Se la passphrase inserita è corretta, la partizione viene montata e sarà possibile utilizzarla normalmente da tutte le applicazioni.
Una delle funzionalità più interessanti di LUKS, che lo rende preferibile rispetto all'uso diretto di ''dm-crypt'' come illustrato in UsbKeyInstallation è che il sistema consente l'uso di più password (fino ad un massimo di 8) che possono essere aggiunte o rimosse (posto che almeno una resti presente per poter accedere al dispositivo). Il caso più comune è quello in cui si vuole aggiungere una nuova password o cambiare quella esistente, che si realizza comunque per con una aggiunta seguita da una rimozione.
Il comando che consente di aggiungere una passphrase è il seguente:
cryptsetup luksAddKey /dev/sdc1
verrà chiesta una delle passphrase presenti (all'inizio ce ne è una sola, quella impostata in fase di creazione, cui viene sempre assegnato l'indice 0) per sbloccare l'accesso e poi l'immissione due volte della nuova passwphrase. La passphrase sarà inserita nel primo degli slot disponibili (nel caso dell'esempio, se aggiunta dopo la creazione, questo sarà quello con indice 1) e potrà essere utilizzata in maniera equivalente a tutte quelle presenti. Se lo scopo non era quello di aggiungere una passhprase, ma quello di cambiare la precedente, si potrà a questo punto passare alla rimozione di quella non voluta, cancellando il relativo slot.
Per individuare lo slot si può usare il comando cryptsetup luksDump
, ottenendo un risultato del tipo:
cryptsetup luksDump /dev/sdc1 LUKS header information for /dev/sdc1 ... Key Slot 0: ENABLED Iterations: 182965 Salt: 50 6d 67 70 63 33 19 c6 41 e7 c1 55 b6 02 49 89 54 79 7b 56 4e b6 78 92 c8 f8 66 e8 bb e6 a8 f1 Key material offset: 8 AF stripes: 4000 Key Slot 1: ENABLED Iterations: 144406 Salt: 56 35 b1 33 8d c9 0e b8 ba 10 a0 1c 4f 16 2b 8c d3 ec fe c8 5f 7f 23 74 79 ab 5d 96 ec 4c 4c 4a Key material offset: 264 AF stripes: 4000 Key Slot 2: DISABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED
e a questo punto la rimozione della passhprase indesiderata (nello specifico quella dello slot 0) sarà effettuata con:
cryptsetup luksKillSlot /dev/sdc1 0
Aggiornato da Simone Piccardi circa 8 anni fa · 12 revisions