francescomecca.eu/_posts/2015-06-01-guida-pratica-a-luks.md
PesceWanda 6249a5dfc9 blog
2016-05-01 11:13:57 +02:00

5.2 KiB
Raw Blame History

id title date author layout guid permalink blogger_blog blogger_author blogger_a4a2016d1c35883202d5ddff9b0ea4ff_permalink categories tags
19 Guida pratica a LUKS 2015-06-01T12:14:00+00:00 pesceWanda post https://provaprova456789.wordpress.com/2015/06/01/guida-pratica-a-luks /index.php/archives/19
caught-in-thenet.blogspot.com
pescedinomewanda
4407974283692636273
PesceWanda
crittografia
guida
linux
Luks
tutorial
“When privacy is outlawed, only outlaws will have privacy”

Phil Zimmerman

Questa e` una guida pratica alluso di LUKS su Linux.

LUKS e` un acronimo che sta per Linux Unified Key Setup ed e` il formato standard per il disk-encryption, creato nel 2004, si distingue da molti altri formati crittografici per la particolareggiata documentazione e soprattutto per esser stato sottoposto ad auditing, ovvero il processo di controllo del codice sorgente per verificarne lintegrita`, lefficacia e la robustezza degli algoritmi e lassenza di backdoor o bug software critici.

Il primo passo per utilizzare LUKS e` installarlo sulla propria distribuzione, o controllare se e` gia` presente.

Preparare la partizione

In questo esempio la partizione /dev/sda1 viene formattata e sovrascritta.

# cryptsetup -y -v luksFormat /dev/sda1
WARNING!
======== 
This will overwrite data on /dev/sda1 irrevocably.
Are you sure? (Type uppercase yes): YES 
Enter LUKS passphrase: 
Verify passphrase: 
Command successful.

In questo post useremo i parametri di default che sono:

# cryptsetup -v cipher aes-xts-plain64 key-size 256 hash sha1 iter-time 1000 use-urandom verify-passphrase luksFormat /dev/sda1

ed equivalgono al precedente; se si vuole adottare un livello di sicurezza maggiore e personalizzata si puo` eseguire

#cryptsetup benchmark

e scegliere il cypher e lalgoritmo che si preferisce. Si ricorda che il numero relativo alla dimensione della chiave e` la meta` di quello usato da LUKS, ovvero 512 bit in questo caso.

Il prossimo comando inizializza il volume dopo aver inserito la chiave per il volume. Il terzo argomento e` il nome che si vuole scegliere per la partizione.

La password scelta non puo` esser in nessun modo recuperata.

#cryptsetup luksOpen /dev/sda1 testvolume
Enter passphrase for /dev/sda1:

Ora /dev/sda1 correttemente inizializzato viene mappato su /dev/mapper/testvolume. Per verificare lo stato del volume:

# cryptsetup -v status testvolume
/dev/mapper/testvolume is active.
type: LUKS1
cipher: aes-cbc-essiv:sha256
keysize: 512 bits
device: /dev/sda1
offset: 4096
sectors size: 419426304
sectors mode: read/write
Command successful.

Formattare la partizione

Ora ci si deve assicurare che in caso di unanalisi esterna ogni dato venga visto come una serie random di zero ed uno senza valore e assicurarsi che non ci sia un leak di informazioni relative alluso del disco:

# dd if=/dev/zero of=/dev/mapper/testvolume

Poi creare un filesystem, in questo caso ext4

# mkfs.ext4 /dev/mapper/testvolume

Montare e chiudere il disco

Per montare da /dev/mapper il disco e poterlo utilizzare digitare:

# mount /dev/mapper/testvolume /mnt/testvolume

e per chiudere il volume in maniera sicura:

# umount /mnt/testvolume
# cryptsetup luksClose testvolume

Cambiare password

LUKS supporta anche piu` di una password per volume quindi si procede aggiungendo una nuova password:

# cryptsetup luksAddKey /dev/sda1
 Enter any passphrase:
 Enter new passphrase for key slot:
 Verify passphrase:

e poi rimuovendo quella precedente:

# cryptsetup luksRemoveKey /dev/sda1

Oppure in alternativa si puo` utilizzare

#cryptsetup luksChangekey /dev/sda1

Se si volesse rendere completamente inaccessibile il volume basta rimuovere la chiave attraverso il comando:

#cryptsetup luksErase /dev/sda

questa opzione non richiede password ed e` irreversibile.

Francesco Mecca