Come crittografare una partizione con DM-Crypt LUKS

Nessuno sfugge a quello che devi cercare migliorare la sicurezza del nostro equipaggiamento per quanto possibile, sia per computer desktop che per laptop, anche se nel caso di questi ultimi è direttamente qualcosa di imperativo -specialmente se li usiamo per lavoro- visto il fatto di portarli da un posto all'altro aumenta le possibilità di perderlo o di farcelo rubare, e in entrambi i casi le nostre informazioni possono essere esposte e le conseguenze di ciò sarebbero molto gravi.

Le alternative in questo senso sono poche, e questo è l'aspetto positivo libre software in generale, anche se in questo caso ne voglio parlare DM-Crypt LUKS, una soluzione di crittografia molto popolare da molto tempo grazie al fatto che è integrato nel kernel come modulo - offrendo accesso alle API Crypto del kernel linux- e offerta crittografia trasparente e capacità di mappare dispositivi e partizioni in livelli di blocco virtuali, consentendo così crittografare partizioni, interi dischi rigidi, volumi RAID, volumi logici, file o unità rimovibili.

Per iniziare abbiamo bisogno avere una partizione libera (nel mio caso, / dev / sda4), quindi se non è così dovremo creare una nuova partizione utilizzando uno strumento come GParted. Una volta che avremo spazio libero, inizieremo installa cryptsetup se non abbiamo più questo strumento, che in genere è normalmente incluso di default ma forse quando installiamo il nostro Ubuntu abbiamo optato per un'installazione minima:

# apt-get install cryptsetup

Ora iniziamo con inizializza la partizione cosa stiamo andando a fare crittografare, per il quale utilizziamo quella partizione gratuita di cui abbiamo parlato prima. Questo è un passaggio che genera anche la chiave iniziale, e sebbene il suo nome sembri indicare che la partizione è formattata ciò non accade, ma semplicemente la prepara a lavorare con la crittografia (nel nostro caso abbiamo optato per AES con una dimensione della chiave di 512 byte:

# cryptsetup –verbose –verbose –cipher aes-xts-plain64 –key-size 512 –hash sha512 –iter-time 5000 –use-random luksFormat / dev / sda4

Riceveremo un messaggio di avviso in cui ci verrà notificato che il contenuto che abbiamo archiviato in questo momento in / Dev / sda4e ci viene chiesto se siamo sicuri. Siamo d'accordo scrivendo SI, in questo modo in maiuscolo, e poi ci viene chiesto di inserire la frase LUKS, due volte per assicurarci che non ci siano errori.

Ora 'apriamo' il contenitore crittografato, dandogli un nome virtuale, che sarà quello con cui appare nel sistema (ad esempio quando eseguiamo il comando df -h per visualizzare le diverse partizioni, nel nostro caso lo vedremo in / dev / mapper / encrypted):

# crytpsetup luksApri / dev / sda4 crittografato

Ci viene chiesto di Chiave LUKS che abbiamo creato in precedenza, lo inseriamo e siamo pronti. Ora dobbiamo creare il file system per questa partizione crittografata:

# mkfs.ext3 / dev / mapper / criptato

Il passo successivo è quello di aggiungi questa partizione al file / etc / crypttab, simile a / etc / fstab poiché è responsabile della fornitura di unità crittografate all'avvio del sistema:

# cryto_test / dev / sda4 nessuno disponibile

Quindi creiamo il punto di montaggio di questa partizione crittografata e aggiungiamo tutte quelle informazioni al file / etc / fstab in modo da avere tutto disponibile ad ogni riavvio:

# mkdir / mnt / crittografato

# nano / etc / fstab

Aggiungere quanto segue dovrebbe andare bene, anche se chi cerca il più personalizzato può dare un'occhiata alle pagine man di fstab (man fstab) dove ci sono molte informazioni a riguardo:

/ dev / mapper / encrypted / mnt / encrypted ext3 predefinito 0 2

Ora, ogni volta che riavviamo il sistema ci verrà chiesto di inserire la passphrase e, dopo averlo fatto, la partizione crittografata verrà sbloccata in modo che possiamo averla a disposizione.