Progetto

Generale

Profilo

EncryptedFilesystemUsingLUKS » Cronologia » Versione 18

Simone Piccardi, 14-03-2017 14:15

1 16 Simone Piccardi
h1. Gestire filesystem cifrati usando LUKS
2 1 Amministratore Truelite
3 17 Simone Piccardi
Benché sia possibile (ad esempio nel caso di Debian e derivate) installare direttamente il sistema cifrando il disco, nel qual caso tutte le operazioni vengono gestire dal programma di installazione, si pone talvolta la necessità di effettuare la stessa operazione quando si aggiunge un disco esterno. 
4 1 Amministratore Truelite
5 17 Simone Piccardi
Un caso comune di questa esigenza è quando si usano dischi di backup rimuovibili (da spostare in una diversa collocazione, come possibile realizzazione di una procedura elementare di disaster recovery), in modo da proteggere i dati in essi contenuti, o in generale tutte le volte che si vogliono proteggere, qualunque sia la ragione, i dati salvati su un supporto esterno. In tutti questi casi occorre eseguire le operazioni di gestione dei dischi cifrati manualmente, nelle modalità che esamineremo nel seguito.
6 1 Amministratore Truelite
7 17 Simone Piccardi
Per cifrare i contenuti di un intero disco viene normalmente utilizzato "LUKS":https://gitlab.com/cryptsetup/cryptsetup, acronimo di "Linux Unified Key Setup", che si propone come lo standard per la crittografia dei dischi in sistemi Linux (e non solo), offrendo un formato standard "on-disc", la possibilità di avere più di una coppia chiave-passphrase per l'accesso ai contenuti ed una gestione sicura di tutte le chiavi. 
8
9 13 Simone Piccardi
h2. Creazione di un disco cifrato
10 1 Amministratore Truelite
11 17 Simone Piccardi
Un disco cifrato con LUKS, nel caso lo si sia formattato con una filesystem compatibile (es. vfat) è accessibile anche dai sistemi Windows, usando "LibreCrypt":https://github.com/t-d-k/librecrypt. Per utilizzarlo da Linux è necessaria una versione del programma @cryptsetup@ (che viene usato anche per la cifratura diretta con ''dm-crypt'') che lo supporti, che è ormai disponibile su tutte le distribuzioni. Si può comunque verificare la presenza del supporto con il comando @cryptsetup --help@ controllando in coda la presenza delle opzioni relative a LUKS. Nel caso in cui il comando non fosse presente, su Debian lo si può installare semplicemente con:
12 1 Amministratore Truelite
13
<pre>
14 10 Simone Piccardi
apt-get install cryptsetup
15 9 Simone Piccardi
</pre>
16 8 Amministratore Truelite
17 17 Simone Piccardi
A questo punto è possibile iniziare il lavoro di preparazione del dispositivo, nel nostro esempio prenderemo il caso una chiavetta USB rilevata dal sistema come @/dev/sdd@.
18 1 Amministratore Truelite
19 12 Simone Piccardi
La prima cosa da fare è verificare l'affidabilità del dispositivo ed, al tempo stesso, riempire tutto lo spazio disponibile con dei dati casuali rendendo di fatto molto più difficoltosi eventuali tentativi di attacco e compromissione del filesystem cifrato che verrà creato in seguito. Prima di iniziare, va tenuto presente il fatto che a seconda della dimensione del disco, questo processo può richiedere molte ore, quindi se dovete lanciarlo su di un disco molto grande, vi conviene farlo prima di andare a dormire.
20 1 Amministratore Truelite
21
<pre>
22 12 Simone Piccardi
badblocks -c 10240 -s -w -t random -v /dev/sdc
23 2 Amministratore Truelite
</pre>
24 1 Amministratore Truelite
25 10 Simone Piccardi
Se siete particolarmente paranoici potete utilizzare @/dev/urandom@ come sorgente di dati casuali e riempirci il disco. La casualità dei dati sarà migliore rispetto a quella del metodo precedente, ma l'operazione farà un uso intensivo della CPU e richiederà ancora più tempo. Il comando da eseguire è: 
26 9 Simone Piccardi
27 1 Amministratore Truelite
Il comando da eseguire è:
28
<pre>
29
dd if=/dev/urandom of=/dev/sdc
30 9 Simone Piccardi
</pre>
31 12 Simone Piccardi
32 17 Simone Piccardi
Successivamente va partizionato il disco. In questo caso l'obiettivo è di creare un'unica partizione che occupi tutto lo spazio disponibile e per farlo ci sono diverse alternative, sia da linea di comando come @fdisk@ o @cfdisk@ che grafiche come @gparted@ e @qtparted@. Si supponga comunque di aver creata una sola partizione, riconosciuta dal sistema come @/dev/sdd1@. 
33 1 Amministratore Truelite
34 18 Simone Piccardi
A questo punto è possibile cifrare la partizione con LUKS e poi "agganciarla" al _device mapper_, in modo che possa essere presentata in maniera "trasparente" al sistema. E' molto importante la scelta di una passphrase abbastanza lunga e complessa poiché l'utilizzo di una frase corta e/o facilmente indovinabile vanificherebbe l'utilizzo della crittografia.
35 1 Amministratore Truelite
36 17 Simone Piccardi
Il primo passo è inizializzare il disco per la cifratura con LUKS; per questo si usa il comando:
37 1 Amministratore Truelite
38
<pre>
39 16 Simone Piccardi
# cryptsetup --verbose --verify-passphrase luksFormat /dev/sdd1
40
41
WARNING!
42
========
43 1 Amministratore Truelite
Ciò sovrascriverà i dati in /dev/sdd1 in modo irreversibile.
44 16 Simone Piccardi
45
Are you sure? (Type uppercase yes): YES
46
Inserire la passphrase: 
47
Verifica passphrase: 
48
Comando eseguito con successo.
49 1 Amministratore Truelite
</pre>
50 16 Simone Piccardi
51 17 Simone Piccardi
in cui occorre confermare la formattazione del disco, e poi inserire la passphrase, ripetendola due volte per verifica. A questo punto si potrà attivare il disco cifrato con:
52 1 Amministratore Truelite
53
<pre>
54 16 Simone Piccardi
# cryptsetup luksOpen /dev/sdd1 cifrato
55
Inserire la passphrase per /dev/sdd1: 
56
</pre>
57
58
dove si dovrà inserire, per poter accedere in chiaro ai dati del disco, la passphrase fornita con il comando precedente. 
59
60 17 Simone Piccardi
Se tutto è andato a buon fine, l'output del comando @ls /dev/mapper/@ dovrebbe restituire anche @cifrato@ fra i file presenti, confermando l'avvenuto "aggancio" della partizione criptata al _device mapper_, il quale fornirà su @/dev/mapper/cifrato@ il dispositivo su cui operare in chiaro. A questo punto si potrà creare un filesystem sulla partizione criptata con:
61 16 Simone Piccardi
62
<pre>
63 1 Amministratore Truelite
mkfs.ext4 /dev/mapper/cifrato
64
</pre>
65 12 Simone Piccardi
66 13 Simone Piccardi
e sarà possibile montarlo con:
67 1 Amministratore Truelite
68
<pre>
69
mount /dev/mapper/cifrato /mnt
70
</pre>
71
72 16 Simone Piccardi
Infine i comandi per smontare il filesystem e disabilitare l'accesso alla partizione criptata sono:
73 1 Amministratore Truelite
74
<pre>
75
umount /mnt
76
cryptsetup luksClose /dev/mapper/cifrato
77
</pre>
78
79 17 Simone Piccardi
dove il secondo comando distacca il disco dal _device mapper_ (si potrà verificare che @/dev/mapper/cifrato@ non è più disponibile), rendendo impossibile l'accesso ai dati del disco.
80 16 Simone Piccardi
81
Si tenga presente che una volta che si sia formattato un disco con @luksFormat@ questo potrà essere identificato, oltre che con il nome di dispositivo classico, anche tramite l'UUID ad esso associato, rendendo il riconoscimento dello stesso indipendente dall'eventuale presenza di altri dischi e dall'ordine con cui il kernel assegna i vari nomi @/dev/sdX@. In particolare nel nostro caso potremo individuare eventuali dischi cifrati con:
82 1 Amministratore Truelite
83
<pre>
84
# blkid -t TYPE="crypto_LUKS"
85 16 Simone Piccardi
/dev/sdd1: UUID="695fb63b-bb47-45d5-9561-15f6664c0296" TYPE="crypto_LUKS" PARTUUID="05548b2f-01"
86
</pre>
87
88
ed in tutti i comandi riguardanti LUKS si potrà usare, al posto dell'indicazione del dispositivo specifico (nel caso @/dev/sdd1@) l'indicazione dell'UUID (nella forma @UUID=695fb63b-bb47-45d5-9561-15f6664c0296@).
89
90 1 Amministratore Truelite
91 13 Simone Piccardi
h2. Utilizzo dei dischi cifrati
92
93 17 Simone Piccardi
Le distribuzioni sufficientemente moderne usano ??hal??, ??d-bus?? e ??gnome-volume-manager?? (o l'equivalente per altri desktop) per la gestione dei volumi disponibili nel sistema: quando viene collegata al sistema una chiavetta USB (o altro disco rimuovibile) contenente la partizione crittografata con LUKS, questa viene riconosciuta e compare una finestra che chiede di inserire la passphrase. Se la passphrase inserita è corretta, la partizione viene montata e sarà possibile utilizzarla normalmente da tutte le applicazioni.
94 1 Amministratore Truelite
95 17 Simone Piccardi
Qualora invece si intenda cifrare un disco di sistema (ad esempio un disco per i backup) da montare all'avvio, si deve ricorrere all'uso del file @/etc/crypttab@ che contiene l'elenco dei dischi cifrati che devono essere sbloccati, in modo tale da poterli poi usare normalmente dentro @/etc/fstab@. Si tenga conto che in questo caso di norma la passphrase sarà chiesta all'avvio che, se questa non viene fornita, si bloccherà sulla richiesta di montaggio del dispositivo. 
96 13 Simone Piccardi
97 17 Simone Piccardi
Il formato di @/etc/crypttab@ prevede quattro campi, separati da spazi, il primo campo indica il nome che si darà al dispositivo cifrato sotto @/dev/mapper@ (nel caso dell'esempio precedente, @cifrato@), il secondo campo indica il dispositivo fisico e si può indicare con il nome dello stesso (nel nostro esempio @/dev/sdd1@), o con l'UUID come detto in precedenza. Oltre che con @blkid@ l'UUID si può ottenere anche con il comando:
98 1 Amministratore Truelite
99
<pre>
100 16 Simone Piccardi
# cryptsetup luksUUID /dev/sdd1 
101
695fb63b-bb47-45d5-9561-15f6664c0296
102 13 Simone Piccardi
</pre>
103
104 18 Simone Piccardi
Il terzo campo indica le modalità con cui si sblocca il dispositivo, ed il default di @none@ indica la necessità di fornire la passphrase sulla console, si può comunque anche indicare un nome di un file (ad esempio da fornire su un dispositivo esterno) da cui questo verrà letto (in tal caso viene usato tutto il file, e la passphrase in esso contenuta non deve terminare con un a capo). L'ultimo campo, che indica le opzioni con cui viene creato il dispositivo cifrato, nel nostro caso dovrà essere @luks@.
105 13 Simone Piccardi
106
Pertanto con un contenuto di @/etc/crypttab@ del tipo:
107 1 Amministratore Truelite
108 13 Simone Piccardi
<pre>
109 1 Amministratore Truelite
# <target name>	<source device>		<key file>	<options>
110 16 Simone Piccardi
cifrato		UUID=695fb63b-bb47-45d5-9561-15f6664c0296	none	luks
111 1 Amministratore Truelite
</pre>
112
113
potremo montare il disco cifrato sotto @/cifrato@ inserendo in @/etc/fstab@ la riga:
114
115
<pre>
116
/dev/mapper/cifrato   /cifrato      ext4    defaults        0       2
117
</pre>
118 13 Simone Piccardi
119 1 Amministratore Truelite
Qualora invece si abbia la necessità di montare e smontare il disco in uno script (ad esempio in uno script per la gestione dei backup su un disco rimuovibile) si pone il problema di come inserire la passphrase, che il comando normalmente richiede sia fornita su un terminale. In tal caso si potrà fargliela leggere da un file separato, ma è in genere preferibile inserire tutte le informazioni direttamente all'interno dello script, utilizzando una attivazione del disco cifrato nella forma:
120 16 Simone Piccardi
121 13 Simone Piccardi
<pre>
122 16 Simone Piccardi
echo -n passphraselungaecomplicata|cryptsetup luksOpen /dev/sdd1 cifrato --key-file=-
123
</pre>
124
125 1 Amministratore Truelite
(dove il @-n@ è importante, perché l'a capo inserito da @echo@ nella invocazione normale verrebbe letto come carattere della passphrase). 
126 16 Simone Piccardi
127
Ovviamente in questo caso la password sarà leggibile da chi ha accesso amministrativo alla macchina, ma in questo caso la protezione è pensata per proteggere il disco quando viene rimosso e spostato altrove.
128
129 17 Simone Piccardi
130 10 Simone Piccardi
h2. Gestione delle passphrase
131
132 16 Simone Piccardi
Una delle funzionalità più interessanti di LUKS, che lo rende preferibile rispetto all'uso diretto del ''dm-crypt'' elementare, è che il sistema consente l'uso di più password (fino ad un massimo di 8) che possono essere aggiunte o rimosse (posto che almeno una resti presente per poter accedere al dispositivo). Il caso più comune è quello in cui si vuole aggiungere una nuova password o cambiare quella esistente (che si realizza comunque per con una aggiunta seguita da una rimozione).
133 10 Simone Piccardi
134 12 Simone Piccardi
Il comando che consente di aggiungere una passphrase è il seguente:
135 10 Simone Piccardi
136
<pre>
137 16 Simone Piccardi
cryptsetup luksAddKey /dev/sdd1
138 10 Simone Piccardi
</pre>
139
140 17 Simone Piccardi
verrà chiesta una qualunque delle passphrase presenti per sbloccare l'accesso (all'inizio ce ne è una sola, quella impostata in fase di creazione, cui viene sempre assegnato l'indice 0) e poi l'immissione due volte della nuova passphrase. La passphrase sarà inserita nel primo degli slot disponibili (nel caso dell'esempio, se aggiunta dopo la creazione, questo sarà quello con indice 1) e potrà essere utilizzata in maniera equivalente a tutte le altre. Se lo scopo non era quello di aggiungere una nuova passhprase, ma solo quello di cambiarne una esistente, si potrà a questo punto passare alla rimozione di quella non voluta, cancellando il relativo slot.
141 12 Simone Piccardi
142
Per individuare lo slot si può usare il comando @cryptsetup luksDump@, ottenendo un risultato del tipo:
143 10 Simone Piccardi
<pre>
144 16 Simone Piccardi
cryptsetup luksDump /dev/sdd1
145
LUKS header information for /dev/sdd1
146 10 Simone Piccardi
147
...
148
149
Key Slot 0: ENABLED
150 1 Amministratore Truelite
        Iterations:             182965
151 10 Simone Piccardi
        Salt:                   50 6d 67 70 63 33 19 c6 41 e7 c1 55 b6 02 49 89 
152
                                54 79 7b 56 4e b6 78 92 c8 f8 66 e8 bb e6 a8 f1 
153
        Key material offset:    8
154 1 Amministratore Truelite
        AF stripes:             4000
155
Key Slot 1: ENABLED
156 10 Simone Piccardi
        Iterations:             144406
157
        Salt:                   56 35 b1 33 8d c9 0e b8 ba 10 a0 1c 4f 16 2b 8c 
158
                                d3 ec fe c8 5f 7f 23 74 79 ab 5d 96 ec 4c 4c 4a 
159
        Key material offset:    264
160
        AF stripes:             4000
161
Key Slot 2: DISABLED
162
Key Slot 3: DISABLED
163
Key Slot 4: DISABLED
164
Key Slot 5: DISABLED
165
Key Slot 6: DISABLED
166
Key Slot 7: DISABLED
167
</pre>
168 11 Simone Piccardi
169 10 Simone Piccardi
e a questo punto la rimozione della passhprase indesiderata (nello specifico quella dello slot 0) sarà effettuata con:
170 17 Simone Piccardi
171 10 Simone Piccardi
<pre>
172 16 Simone Piccardi
cryptsetup luksKillSlot /dev/sdd1 0
173 1 Amministratore Truelite
</pre>