Jak jde doba dál, Systém se čím dál tím víc zajímá o to, co má ovčan v počítači. Jak jsem psal dříve, řešení je přejít na jiný systém, třeba na Linux. A dále omezit aktivity na internetu na "legální minimum". Dnes si napíšeme postup, jak elegantně šifrovat data na pevném disku a nebo i třeba flash disku, případně jakémkoli úložném médiu, které lze v Linuxu formátovat.
Zatím mám zkušenost se dvěma typy šifrovacích úložišť. První z nich byl nazval z hlediska šifrace AUTONOMNÍ a druhé ZÁVISLÉ.
AUTONOMNÍ šifrované úložiště
Jedná se o úložiště, které je šifrováno nezávisle na operačním systému, ke kterému je připojeno. Šifruje se tedy jaksi taksi samo v závislosti na nastavení výrobcem nebo uživatelem. Velice se mi líbí flash disky Verbatim Keypad Secure Drive. Jejich použití je sice trošičku komplikované, ale jakmile si zvyknete na jednorázovou inicializaci flash disku a následnou aktivaci při zapojení do USB zásuvky počítače, tak se z tohoto autonomního úložiště stane velice dobrý kamarád. Verbatim Secure Drive funguje na Windows i Linuxu - vyzkoušeno. Formátování a inicializaci bych doporučoval spíše na Windows. Uživatel si na flash klávesnici nastaví číselný kód a tímto svoje data dešifruje. Šifra je poměrně tuhá, jedná se o AES 256bit, číselné heslo uživatele může mít až 12 míst.
Toto úložiště má dvě nevýhody - první - na připojení do USB slotu potřebujete kabílek, který je k flashce dodáván, protože mačkat číslo někde těsně kokpitu počítače není zrovna snadné.
A dále - pokud trpíte zimomřivostí, tak flashka funguje také jako topení. A to velmi teplé. Doporučoval bych tuto flash paměť zapojovat jen krátce na nezbytné úkony, protože opravdu netuším, co výrazný přehřev udělá s životností takové paměti.
Nicméně pokud chcete mít kapacitnější úložiště třeba na mechanickém klasickém disku, kde je přece jen cena za 1 GB mnohem nižší, tak není od věci využít závislou šifraci a o ní si řekneme v další části článku.
ZÁVISLÉ šifrované úložiště
U závislé šifrace doporučuji používat pouze open source programy, které můžete zkontrolovat, zda v nich nejsou zadní vrátka. Jedním z takových programů je cryptsetup (licence GNU) s formátováním luksFormat.
Dokáže šifrovat oddíl na disku, což je výhodné, jelikož můžete mít na disku oddíl se systémem a oddíl s daty, který bude právě šifrovaný. Defaultně software používá AES 512 bit. Šifra by tedy měla být ještě tužší než na zmiňovaném autonomním Verbatimu. Nevýhodou je, že k takovému úložišti máte problém přistoupit v operačním systému Windows. Osobně tuto skutečnost považuji za výhodu.
Nemusím snad říkat, že louskat takový disk bude nemalý oříšek pro jakéhokoli zvědavého šťouru!
Zatímco u hw zařízení by teoreticky mohly být zadní vrátka, u open source software bych zadní vrátka čekal méně, ale samozřejmě vyskytnout se mohou také, jak to známe z ostudné aféry "heartbleed bug".
Operační systém Linux OpenSuse Tumbleweed má zmíněný šifrovací software defaultně ve své výbavě, takže jsem si jen povýšil verzi na poslední a směle do toho!
Postup je tento
1. Instalovat cryptsetup, pokud není na aktuální Linux distribuci. Ověřit si, že je stále open source.
2. Vytvořit na disku nový oddíl
Přes fdisk zjistit, o jaké se jedná úložiště, v našem případě to bude třeba "sdc".
fdisk -l
fdisk /dev/sdc
zadat příkazy např.
- n (nový oddíl), p (primary), 1 (např. 1. oddíl), wq (write + quit)
3. Vytvořit oddíl přes cryptsetup
např.
sudo cryptsetup luksFormat /dev/sdc1
4. Kontrola lsblk -f
Měl by být vidět nově vytvořený oddíl.
5. Vytvoření souborového systému např. ext4 pod názvem "secdisc"
cryptsetup luksOpen /dev/sdc1 secdisc
Kontrola lsblk -f
sudo mkfs.ext4 /dev/mapper/secdisc
6. Namountovat
sudo mount /dev/mapper/secdisc /mnt/secdisc
Případně nastavit práva přes chown nebo vytvořit adresář a chmod či setfacl.
7. Kontrola
cryptsetup status secdisc
A získáme PARÁDNÍ hlášení:
/dev/mapper/secdisc is active.
type: n/a
cipher: aes-xts-plain64
keysize: 512 bits
key location: dm-crypt
device: (null)
sector size: 512
offset: 4096 sectors
size: 234435504 sectors
mode: read/write
Oddíl jej šifrován AES 512b. Krása.
8. Test výkonnosti
cryptsetup benchmark
Při vytváření oddílu a jeho šifrování jsme museli zadat "passphrase". Pokud ji chceme dodatečně změnit, tak takto:
sudo cryptsetup luksDump /dev/sdc1
Dostaneme obdobu:
LUKS header information for /dev/sdc1
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: 72 d0 5d 26 e0 da b1 9a 1e a5 f1 9c 33 ea 41 62 59 71 0b 1d
MK salt: 0e 65 bd ae c4 cf 21 e5 93 4d a7 21 1e 0a 0c 1d
0a 95 54 ee 67 41 d5 76 d9 91 5d 38 43 ff c8 f4
MK iterations: 82435
UUID: 4141eeec-ba00-41dd-add4-c85467dda269
Key Slot 0: ENABLED
Iterations: 1361786
Salt: fc a1 0e 84 a9 92 31 46 9e 60 30 fb 52 76 6e 45
57 c7 cb 8b 88 0b fe 03 fe 20 45 8d 38 a7 79 9b
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Vidíme, že jsme pouze na slotu 0. Ještě si to ověříme:
sudo cryptsetup --verbose open --test-passphrase /dev/sdc1
A dostaneme a vyplníme:
Enter passphrase for /dev/sdc1:
Key slot 0 unlocked.
Command successful.
Máme potvrzený slot 0.
Změna pasfráze:
sudo cryptsetup luksChangeKey /dev/sdc1 -S 0
Kontrola:
sudo cryptsetup --verbose open --test-passphrase /dev/sdc1
A je to. Ani to nebolelo. Jak jsem psal, na disku si vytvoříme adresáře s oprávněními nebo si nastavíme práva na celý disk. Rychlost dešifrace je na mém stroji více než slušná. Nyní tedy můžeme vesele šifrovat, a čechistánští špioni a šimlové budou jen mrkat na drát a vidět špagát.
A tak to má být.
A ještě poznámka, k úložišti lze poměrně luxusně přistupovat přes souborového manažera Dolphin.
Zdroj:
autor
