5.2 KiB
id | title | date | author | layout | guid | permalink | blogger_blog | blogger_author | blogger_a4a2016d1c35883202d5ddff9b0ea4ff_permalink | categories | tags | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
19 | Guida pratica a LUKS | 2015-06-01T12:14:00+00:00 | pesceWanda | post | https://provaprova456789.wordpress.com/2015/06/01/guida-pratica-a-luks | /index.php/archives/19 |
|
|
|
|
|
“When privacy is outlawed, only outlaws will have privacy”
Questa e` una guida pratica all’uso di LUKS su Linux.
LUKS e` un acronimo che sta per Linux Unified Key Setup ed e` il formato standard per il disk-encryption, creato nel 2004, si distingue da molti altri formati crittografici per la particolareggiata documentazione e soprattutto per esser stato sottoposto ad auditing, ovvero il processo di controllo del codice sorgente per verificarne l’integrita`, l’efficacia e la robustezza degli algoritmi e l’assenza di backdoor o bug software critici.
Il primo passo per utilizzare LUKS e` installarlo sulla propria distribuzione, o controllare se e` gia` presente.
Preparare la partizione
In questo esempio la partizione /dev/sda1 viene formattata e sovrascritta.
# cryptsetup -y -v luksFormat /dev/sda1 WARNING! ======== This will overwrite data on /dev/sda1 irrevocably. Are you sure? (Type uppercase yes): YES Enter LUKS passphrase: Verify passphrase: Command successful.
In questo post useremo i parametri di default che sono:
# cryptsetup -v –cipher aes-xts-plain64 –key-size 256 –hash sha1 –iter-time 1000 –use-urandom –verify-passphrase luksFormat /dev/sda1
ed equivalgono al precedente; se si vuole adottare un livello di sicurezza maggiore e personalizzata si puo` eseguire
#cryptsetup benchmark
e scegliere il cypher e l’algoritmo che si preferisce. Si ricorda che il numero relativo alla dimensione della chiave e` la meta` di quello usato da LUKS, ovvero 512 bit in questo caso.
Il prossimo comando inizializza il volume dopo aver inserito la chiave per il volume. Il terzo argomento e` il nome che si vuole scegliere per la partizione.
La password scelta non puo` esser in nessun modo recuperata.
#cryptsetup luksOpen /dev/sda1 testvolume Enter passphrase for /dev/sda1:
Ora /dev/sda1 correttemente inizializzato viene mappato su /dev/mapper/testvolume. Per verificare lo stato del volume:
# cryptsetup -v status testvolume /dev/mapper/testvolume is active. type: LUKS1 cipher: aes-cbc-essiv:sha256 keysize: 512 bits device: /dev/sda1 offset: 4096 sectors size: 419426304 sectors mode: read/write Command successful.
Formattare la partizione
Ora ci si deve assicurare che in caso di un’analisi esterna ogni dato venga visto come una serie random di zero ed uno senza valore e assicurarsi che non ci sia un leak di informazioni relative all’uso del disco:
# dd if=/dev/zero of=/dev/mapper/testvolume
Poi creare un filesystem, in questo caso ext4
# mkfs.ext4 /dev/mapper/testvolume
Montare e chiudere il disco
Per montare da /dev/mapper il disco e poterlo utilizzare digitare:
# mount /dev/mapper/testvolume /mnt/testvolume
e per chiudere il volume in maniera sicura:
# umount /mnt/testvolume # cryptsetup luksClose testvolume
Cambiare password
LUKS supporta anche piu` di una password per volume quindi si procede aggiungendo una nuova password:
# cryptsetup luksAddKey /dev/sda1 Enter any passphrase: Enter new passphrase for key slot: Verify passphrase:
e poi rimuovendo quella precedente:
# cryptsetup luksRemoveKey /dev/sda1
Oppure in alternativa si puo` utilizzare
#cryptsetup luksChangekey /dev/sda1
Se si volesse rendere completamente inaccessibile il volume basta rimuovere la chiave attraverso il comando:
#cryptsetup luksErase /dev/sda
questa opzione non richiede password ed e` irreversibile.
Francesco Mecca