Titkosítás

A titkosításra azért van szükség, mert nem szeretném, hogy más turkáljon a gépemben, vagy ha ellopják a laptopot, akkor se férjenek hozzá az adatokhoz, stb...

Kétféle út létezik az adatok titkosítására. Az egyik a fájlrendszer szintű titkosítás, ami csak egy megadott könyvtárt vagy fájlt titkosít. Ilyen pl. a régebbi Ubuntu kiadások, amik a home mappát tudták titkosítani az eCryptfs segítségével. A másik megoldás – amit a Fedora is használ – magának az eszköznek a titkosítása. Jelen esetben a dm-crypt + LUKS párost használja a rendszer. Le tudjuk kérdezni a titkosított eszköz állapotát.

$ sudo cryptsetup -v status luks-c2b5d094-225e-4be3-ade7-77e2794ddb5d
/dev/mapper/luks-c2b5d094-225e-4be3-ade7-77e2794ddb5d is active and is in use.
type: LUKS1
cipher: aes-xts-plain64
keysize: 512 bits
key location: dm-crypt
device: /dev/sda5
sector size: 512
offset: 4096 sectors
size: 132118528 sectors
mode: read/write
flags: discards
Command successful.

Illetve az eszköz titkosításáról is kérdezhetünk.

$ sudo cryptsetup -v luksDump /dev/sda5
LUKS header information for /dev/sda5

Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: dc 54 08 c4 5c f7 ec 00 a7 7a 85 eb a5 b1 08 fa 4d 8a 38 69
MK salt: 6c dd 79 bc a6 fd 8c 21 75 1e a9 56 2b 0e a7 ea
21 51 38 eb f2 11 68 21 6e 01 73 2d 43 4d 03 a2
MK iterations: 39912
UUID: c2b5d094-225e-4be3-ade7-77e2794ddb5d

Key Slot 0: ENABLED
Iterations: 638596
Salt: 3c d4 0f fd 87 c4 f4 79 04 a0 ac 79 89 83 2a 6f
0c 1b f1 29 0f 28 34 21 47 09 85 57 c3 16 65 91
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Command successful.

Ebből kiderül, hogy AES-256 titkosítást használ (Az XTS miatt megfeleződik a kulcs), és összesen 8 kulcsot kezel, vagyis 8 különböző jelszóval is feloldhatjuk a titkosítást. Zseniális. Egy új jelszó megadásakor bekér egy már létező jelszót, majd meg kell adni az új jelszót. Természetesen ez a jelszó nem a linuxos fiókunkhoz tartozó bejelentkező jelszó kell legyen, hanem egy önálló, teljesen új, egyedi, de számodra megjegyezhető.

$ sudo cryptsetup luksAddKey /dev/sda5
Enter any existing passphrase:
Enter new passphrase for key slot:
Verify passphrase:

Egy gyors ellenőrzés, és már látszik, hogy létrejött a 2. kulcs is. Mivel alapértelmezetten engedélyezve van, egy gyors újraindítással le is ellenőrizhetjük, hogy valóban működik-e.

$ sudo cryptsetup -v luksDump /dev/sda5
LUKS header information for /dev/sda5

Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: dc 54 08 c4 5c f7 ec 00 a7 7a 85 eb a5 b1 08 fa 4d 8a 38 69
MK salt: 6c dd 79 bc a5 fd 8c 21 75 1e a9 56 2b 0e a7 ea
21 51 38 eb f2 11 68 21 6e 01 73 1d 43 4d 03 a2
MK iterations: 39912
UUID: c2b5d094-225e-4be3-ade7-77e2794ddb5d

Key Slot 0: ENABLED
Iterations: 638596
Salt: 3c d4 0f fd 87 c4 f4 79 04 a0 ac 79 89 83 2a 6f
0c 1b f1 29 0f 28 34 21 47 09 85 57 c3 16 65 91
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 691672
Salt: ed 06 5b cf 52 47 ba 49 e0 fa bd e6 ec 2c 74 9d
9f 4f aa d7 da be 3f a7 50 6f ed d9 39 95 f2 9d
Key material offset: 512
AF stripes: 4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Command successful.

Lehetőség van a jelszó cseréjére is.

$ sudo cryptsetup -v luksChangeKey -S1 /dev/sda5
Enter passphrase to be changed:
Key slot 1 unlocked.
Enter new passphrase:
Verify passphrase:
Password quality check failed:
A jelszó rövidebb mint 8 karakter
Command failed with code -2 (no permission or bad passphrase).

A -S paraméterrel mondjuk meg a rendszernek, hogy hányadik sorszámú kulcsot szeretném módosítani. Ugye itt is azzal kezdi, hogy bekéri az adott jelszót, majd ha sikerült azt helyesen beírni, jöhet az új jelszó megadása. A fenti példából az is látszik, hogy a 8 karakternél rövidebb jelszó, nem jelszó.
Lehetőség van törölni is.

$ sudo cryptsetup -v luksKillSlot /dev/sda5 1
Keyslot 1 is selected for deletion.
Enter any remaining passphrase:
Key slot 0 unlocked.
Key slot 0 removed.
Command successful.

Első alkalommal nekem is fennakadt a szemöldököm, hogy miért a 0-ás jelszót törölte, de valójában az történt, amit kértünk. A slot 1-ben tárolt jelszót törölte. Ez a 2.0.4 verzió hibája, a hamarosan megjelenő 2.0.5-ös kiadásban már javítva lesz. A másik furcsaság, hogy itt valamiért megfordul a sorrend, előbb a titkosított eszközt kell megadni és csak utána a törlendő sorszámot. Itt is van biztonsági kérdés, de itt nem a kitörlendő slot jelszavát kell megadni, hanem bármelyik másikat. Így elkerülhető, hogy addig törölgesd a jelszavakat, míg végül egy sem marad.

A cikk még nem ért véget, kérlek, lapozz!