Advanced Linux & INFOSEC
DOCUMENTATIE CURS
Disk EncryptionDisk encryption sau "data at rest protection", reprezinta o metoda prin care intreg hard diskul sau o partitie se cripteaza pentru a asigura confidentialitatea datelor. Datele sunt protejate in momentul in care partitia fizica pe care se gasesc acestea nu este montata in sistemul de fisiere. In momentul in care partitia este montata nu exista vreun avantaj din punct de vedere al securitatii informatiei. Un cracker poate compromite serverul folosind o metoda clasica (Buffer Overflow, Password Cracking etc) si poate copia intreg hard diskul.
Procesul de criptare/decriptare este transparent pentru utilizator si pentru aplicatii acestea accesand datele in mod normal ca si cand nu ar fi criptate. Nota
dm-crypt reprezinta un framework in kernelul 2.6 cu ajutorul caruia se realizeaza criptarea transparenta a unui disk. Este succesorul lui Cryptoloop si loop-AES care sunt considerate obsolete, vulnerabile si care nu mai sunt dezvoltate in mod constant. dm (device mapper) reprezinta un framework generic din kernelul 2.6 care mapeaza un Block Device cu un altul. Reprezinta fundatia pentru LVM (Logical Volume Management), Software RAID sau dm-crypt. LUKS --Linux Unified Key System - reprezinta standardul actual pentru criptarea diskurilor si implementeaza un mod standard de reprezentare a unui disk criptat. LUKS salveaza toate informatiile despre modul de criptare a partitiei la inceputul partitiei inainte de sistemul de fisiere. Definitie Plausible deniability reprezinta un concept foarte important in cazul criptarii informatiei, mai ales a diskurilor si anume imposibilitatea dovedirii existentei datelor criptate. Informatia este criptata/decriptata folosind un "master key". Aceasta este criptata folosind "user passphass" sau "key file". Nivele de securitate Folosire dm-crypt si LUKS Pas 0. Optional. Umplere partitie cu date random (dureaza circa 5 min/1GB). dd if=/dev/urandom of=/dev/hda1 Pas 1. Partitionare disk. Partitia care va fi criptata poate fi primara sau logica. Nu este nevoie de formatarea in prealabil cu un sistem de fisiere. Pas 2. Instalare cryptsetup cu luks Pas 3. Crearea maparii dintre partitia logica ( /dev/mapper/hda1) si partitia fizica ( /dev/hda1) Partitia logica va fi cea care se monteaza si se foloseste in mod normal. Partitia fizica este cea criptata. cryptsetup --verify-passphrase luksFormat /dev/hda1 Pas 4. Crearea unui sistem de fisiere pe partitia logica a) cryptsetup luksOpen /dev/hda1 hda1 b) mkfs.ext3 -j -m 1 -O dir_index,filetype, sparse_super /dev/mapper/hda1 Pas 5. Montarea partitiei logice in sistemul de fisiere mount /dev/mapper/hda1 /mnt Montarea la butare: cryptsetup luksOpen /dev/hda1 hda1
mount /dev/mapper/hda1 /mnt Daca se foloseste key-file: cryptsetup luksOpen /dev/hda2 hda2 --key-file /home/file.key Unmounting: umount /mnt
cryptsetup luksClose hda1 Exista posibilitatea folosirii mai multor parole sau chei pentru decriptarea partitiei. Adaugarea unui passphrase aditional: cryptsetup luksAddKey /dev/hda1 Adaugarea unui chei aditionale: cryptsetup luksAddKey /dev/hda2 /home/file.key Stergerea unei key/passphrase (de pe slot 0): cryptsetup luksDelKey /dev/hda1 0 Nota
Important Se recomanda si criptarea partitiei SWAP, altfel datele care au fost decriptate pot ramane in SWAP, iar crackerul le poate accesa. Nota
Resurse |
