Com xifrar una partició amb DM-Crypt LUKS

A ningú no s'escapa que cal buscar millorar la seguretat dels nostres equips en la mesura del possible, això tant per a ordinadors de sobretaula com per a portàtils, encara que en el cas d'aquests últims és directament una cosa imperativa -sobretot si els utilitzem per a la feina- ja que el fet de portar-los d'un a un altre lloc augmenta les possibilitats de perdre'l o que ens sigui robat, i en tots dos casos la nostra informació pot quedar exposada i les conseqüències serien molt greus.

Les alternatives en aquest sentit són unes quantes, i això és el bo del programari lliure en general, encara que en aquest cas vull parlar de DM-Crypt LUKS, una solució d'encriptació molt popular des de fa temps gràcies al fet d'estar integrada al nucli com un mòdul -oferint accés a les API de Crypto del nucli de Linux– i oferir encriptació transparent i la possibilitat de mapejar dispositius i particions en nivells de blocs virtuals, permetent així encriptar particions, discos durs complets, volums RAID, volums lògics, fitxers o unitats extraïbles.

Per començar necessitem disposar d'una partició lliure (en el meu cas, /dev/sda4), així que si aquest no és el cas haurem de crear una nova partició mitjançant alguna eina com ara GParted. Quan ja disposem d'espai lliure començarem per instal·lar cryptsetup si és que ja no disposem d'aquesta eina, que en general sol estar inclosa per defecte però potser quan instal·lem el nostre Ubuntu optem per una instal·lació mínima:

# Apt-get install cryptsetup

Ara començarem per inicialitzar la partició que anem a xifrar, per a això utilitzem aquella partició lliure que esmentàvem més enrere. Aquest és un pas que a més genera la clau inicial, i encara que el seu nom semblés indicar-nos que es dóna format a la partició això no passa, sinó que simplement la prepara per treballar amb l'encriptació (en el nostre cas hem optat per AES amb una mida de clau de 512 bytes:

# Cryptsetup -verbose -verbose -cipher aes-XTS-plain64 -key-size 512 -hash sha512 -iter-time 5000 -use-random luksFormat / dev / sda4

Rebrem un missatge d'advertència on se'ns avisa que els continguts que tinguem emmagatzemats en aquest moment a / Dev / sda4, i se'ns pregunta si estem segurs. Assentim escrivint YES, així en majúscules, i després se'ns demana ingressar la frase LUKS, dues vegades per assegurar-nos que no hi hagi errors.

Ara 'obrim' el contenidor encriptat, alhora que li atorguem un nom virtual, que serà amb el que ens aparegui al sistema (per exemple quan executem l'ordre df-h per visualitzar les diferents particions, en el nostre cas ho veurem a /dev/mapper/encriptat):

# crytpsetup luksOpen /dev/sda4 encriptat

Se'ns demana la clau LUKS que hem creat anteriorment, la ingressem i ja estem llestos. Ara hem de crear el sistema de fitxers per a aquesta partició xifrada:

# mkfs.ext3 /dev/mapper/encriptat

El pas següent és el de afegir aquesta partició al fitxer /etc/crypttab, de funcionament similar a /etc/fstab ja que s'encarrega de proveir de les unitats encriptades a l'inici del sistema:

# Cryto_test / dev / sda4 none luks

Després creem el punt de muntatge d'aquesta partició xifrada i afegim tota aquesta informació al fitxer /etc/fstab perquè tinguem tot disponible amb cada reinici:

# mkdir /mnt/encriptat

# Nano / etc / fstab

Afegint el següent hauríem d'estar bé, encara que els qui busquin el més personalitzat poden fer una vistat a les pàgines del manual de fstab (man fstab) on hi ha abundant informació a l'respecte:

/ Dev / mapper / encriptat / mnt / encriptat ext3 defaults 0 2

Ara, cada vegada que reiniciem el sistema se'ns demanarà que ingressem la frase de contrasenya, i després de fer-ho es desbloquejarà la partició encriptada perquè puguem tenir-la disponible.