TracNav(TOC)

Come creare un filesystem cifrato usando LUKS¶

LUKS è un acronimo di "Linux Unified Key Setup" e si propone come lo standard per la crittografia dei dischi in sistemi linux (e non solo), offrendo un formato standard "on-disc", la possibilità di avere più di una coppia chiave-passphrase per l'accesso ed una gestione sicura di tutte le chiavi.

Un disco criptato con LUKS, nel caso lo si sia formattato con una filesystem compatibile (es. vfat) è accessibile anche dai sistemi Windows, usando FreeOTFE.

<pre>

<pre>

La prima cosa da fare è verificare l'affidabilità del dispositivo ed, al tempo stesso, riempire tutto lo spazio disponibile con dei dati casuali rendendo di fatto molto più difficoltosi degli eventuali tentativi di attacco e compromissione del filesystem cifrato che verrà creato in seguito.
Prima di iniziare, va tenuto presente il fatto che a seconda della dimensione del disco, questo processo può richiedere molte ore, quindi se dovete lanciarlo su di un disco molto grande, vi conviene farlo prima di andare a dormire.

<pre>
badblocks -c 10240 -s -w -t random -v /dev/sda
</pre>

<pre>
Il comando da eseguire è:
<pre>
dd if=/dev/urandom of=/dev/sda
</pre>

<pre>

<pre>

A questo punto è possibile cifrare la partizione con LUKS e poi "agganciarla" al device-mapper, in modo che dm-crypt possa presentarla in maniera "trasparente" al sistema. Sottolineo l'importanza della scelta di una passphrase abbastanza lunga e complessa poiché l'utilizzo di una frase corta e/o facilmente indovinabile vanificherebbe l'utilizzo della crittografia.
I comandi da eseguire sono quindi:
<pre>
cryptsetup --verbose --verify-passphrase luksFormat /dev/sda1

cryptsetup luksOpen /dev/sda1 sda1
</pre>

<pre>
<pre>
total 0
crw------- 1 root root 10, 63 Jul 16 01:34 control
brw-r----- 1 root root 253, 0 Jul 16 01:52 sda1
</pre>

Va quindi creato un filesystem sulla partizione criptata:
<pre>
mkfs.ext3 -j -m 1 /dev/mapper/sda1
</pre>

e sarà possibile montarlo con
<pre>
mount /dev/mapper/sda1 /mnt
</pre>

mentre i comandi per smontare filesystem e partizione criptata sono
<pre>
umount /mnt
cryptsetup luksClose /dev/mapper/sda1
</pre>

Le distribuzioni sufficentemente moderne usano hal, d-bus e gnome-volume-manager (o l'equivalente per KDE) per la gestione dei volumi disponibili nel sistema: quando viene collegata al sistema la chiavetta usb contenente la partizione crittografata con LUKS, questa viene riconosciuta e compare una finestra che chiede di inserire la passphrase.
Se la passphrase inserita è corretta, la partizione viene montata e sarà possibile utilizzarla normalmente da tutte le applicazioni.