Index krize v ČR.
Úvod Hledání On-line hry On-line testy Odkazník Registrace Jak podpořit Blogovník Provozní podmínky Zásady ochrany osobních údajů
 



Návštěvy
Celkem:603389
Tento rok:51595
Měsíc:3641
Včera:209
Dnes:112
Online:2
počítadlo ALAWARE.CZ

Úvodní strana  Prohlížení článků  Šifrování oddílu disku v Linuxu




Šifrování oddílu disku v Linuxu

 
Jak jde doba dál, Systém se čím dál tím víc zajímá o to, co má ovčan v počítači. Jak jsem psal dříve, řešení je přejít na jiný systém, třeba na Linux. A dále omezit aktivity na internetu na "legální minimum". Dnes si napíšeme postup, jak elegantně šifrovat data na pevném disku a nebo i třeba flash disku, případně jakémkoli úložném médiu, které lze v Linuxu formátovat.

Zatím mám zkušenost se dvěma typy šifrovacích úložišť. První z nich byl nazval z hlediska šifrace AUTONOMNÍ a druhé ZÁVISLÉ.

AUTONOMNÍ šifrované úložiště

Jedná se o úložiště, které je šifrováno nezávisle na operačním systému, ke kterému je připojeno. Šifruje se tedy jaksi taksi samo v závislosti na nastavení výrobcem nebo uživatelem. Velice se mi líbí flash disky Verbatim Keypad Secure Drive. Jejich použití je sice trošičku komplikované, ale jakmile si zvyknete na jednorázovou inicializaci flash disku a následnou aktivaci při zapojení do USB zásuvky počítače, tak se z tohoto autonomního úložiště stane velice dobrý kamarád. Verbatim Secure Drive funguje na Windows i Linuxu - vyzkoušeno. Formátování a inicializaci bych doporučoval spíše na Windows. Uživatel si na flash klávesnici nastaví číselný kód a tímto svoje data dešifruje. Šifra je poměrně tuhá, jedná se o AES 256bit, číselné heslo uživatele může mít až 12 míst.  

Toto úložiště má dvě nevýhody - první - na připojení do USB slotu potřebujete kabílek, který je k flashce dodáván, protože mačkat číslo někde těsně kokpitu počítače není zrovna snadné.
A dále - pokud trpíte zimomřivostí, tak flashka funguje také jako topení. A to velmi teplé. Doporučoval bych tuto flash paměť zapojovat jen krátce na nezbytné úkony, protože opravdu netuším, co výrazný přehřev udělá s životností takové paměti.

Nicméně pokud chcete mít kapacitnější úložiště třeba na mechanickém klasickém disku, kde je přece jen cena za 1 GB mnohem nižší, tak není od věci využít závislou šifraci a o ní si řekneme v další části článku.

ZÁVISLÉ šifrované úložiště

U závislé šifrace doporučuji používat pouze open source programy, které můžete zkontrolovat, zda v nich nejsou zadní vrátka. Jedním z takových programů je cryptsetup (licence GNU) s formátováním luksFormat.
Dokáže šifrovat oddíl na disku, což je výhodné, jelikož můžete mít na disku oddíl se systémem a oddíl s daty, který bude právě šifrovaný.  Defaultně software používá AES 512 bit. Šifra by tedy měla být ještě tužší než na zmiňovaném autonomním Verbatimu. Nevýhodou je, že k takovému úložišti máte problém přistoupit v operačním systému Windows. Osobně tuto skutečnost považuji za výhodu.

Nemusím snad říkat, že louskat takový disk bude nemalý oříšek pro jakéhokoli zvědavého šťouru!
Zatímco u hw zařízení by teoreticky mohly být zadní vrátka, u open source software bych zadní vrátka čekal méně, ale samozřejmě vyskytnout se mohou také, jak to známe z ostudné aféry "heartbleed bug".


Operační systém Linux OpenSuse Tumbleweed má zmíněný šifrovací software defaultně ve své výbavě, takže jsem si jen povýšil verzi na poslední a směle do toho!

Postup je tento
1. Instalovat cryptsetup, pokud není na aktuální Linux distribuci. Ověřit si, že je stále open source.
2. Vytvořit na disku nový oddíl

Přes fdisk zjistit, o jaké se jedná úložiště, v našem případě to bude třeba "sdc".

fdisk -l
fdisk /dev/sdc 
zadat příkazy např.
- n (nový oddíl), p (primary), 1 (např. 1. oddíl), wq (write + quit)

3. Vytvořit oddíl přes cryptsetup
např. 
sudo cryptsetup luksFormat /dev/sdc1

4. Kontrola lsblk -f
Měl by být vidět nově vytvořený oddíl.

5. Vytvoření souborového systému např. ext4 pod názvem "secdisc"
cryptsetup luksOpen /dev/sdc1 secdisc

Kontrola lsblk -f

sudo mkfs.ext4 /dev/mapper/secdisc

6. Namountovat

sudo mount /dev/mapper/secdisc /mnt/secdisc

Případně nastavit práva přes chown nebo vytvořit adresář a chmod či setfacl.

7. Kontrola

cryptsetup status secdisc

A získáme PARÁDNÍ hlášení:
/dev/mapper/secdisc is active.
  type:    n/a
  cipher:  aes-xts-plain64
  keysize: 512 bits
  key location: dm-crypt
  device:  (null)
  sector size:  512
  offset:  4096 sectors
  size:    234435504 sectors
  mode:    read/write

Oddíl jej šifrován AES 512b. Krása.

8. Test výkonnosti
  
cryptsetup benchmark

Při vytváření oddílu a jeho šifrování jsme museli zadat "passphrase". Pokud ji chceme dodatečně změnit, tak takto:

sudo cryptsetup luksDump /dev/sdc1

Dostaneme obdobu:

LUKS header information for /dev/sdc1

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        512
MK digest:      72 d0 5d 26 e0 da b1 9a 1e a5 f1 9c 33 ea 41 62 59 71 0b 1d 
MK salt:        0e 65 bd ae c4 cf 21 e5 93 4d a7 21 1e 0a 0c 1d 
                0a 95 54 ee 67 41 d5 76 d9 91 5d 38 43 ff c8 f4 
MK iterations:  82435
UUID:           4141eeec-ba00-41dd-add4-c85467dda269

Key Slot 0: ENABLED
        Iterations:             1361786
        Salt:                   fc a1 0e 84 a9 92 31 46 9e 60 30 fb 52 76 6e 45 
                                57 c7 cb 8b 88 0b fe 03 fe 20 45 8d 38 a7 79 9b 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Vidíme, že jsme pouze na slotu 0. Ještě si to ověříme:

sudo cryptsetup --verbose open --test-passphrase /dev/sdc1

A dostaneme a vyplníme:
Enter passphrase for /dev/sdc1: 
Key slot 0 unlocked.
Command successful.

Máme potvrzený slot 0. 

Změna pasfráze:
sudo cryptsetup luksChangeKey /dev/sdc1 -S 0

Kontrola:
sudo cryptsetup --verbose open --test-passphrase /dev/sdc1

A je to. Ani to nebolelo. Jak jsem psal, na disku si vytvoříme adresáře s oprávněními nebo si nastavíme práva na celý disk. Rychlost dešifrace je na mém stroji více než slušná. Nyní tedy můžeme vesele šifrovat, a čechistánští špioni a šimlové budou jen mrkat na drát a vidět špagát.

A tak to má být.

A ještě poznámka, k úložišti lze poměrně luxusně přistupovat přes souborového manažera Dolphin.

Zdroj:
autor

--jun--
13.03.2021,19:17
Počet čtenářů: 0


název a sídlo firmy: Josef Nádběla - ALAWARE IČ: 75811511,  sídlo: Moravská 617/18, Chropyně
Firma je zapsána do živnostenského rejstříku pod názvem 'Josef Nádběla', odkaz zde.
Jsme neplátci DPH.

Webový systém NÁDBĚLA WEB INFINITY 1.1.21D - Copyright Josef Nádběla - ALAWARE 2021 - Všechna práva vyhrazena.
CSS 3.0, PHP 5.4.20 STRICT (verze PHP na hostingu: 5.4.20), XHTML 1.0 Strict
Odladěno pro Internet Explorer 9-11; Mozilla Firefox 12-57; Opera 11,12; Google Chrome 20-34, Maxthon Cloud Browser v4.0.3.6000.
v