“When privacy is outlawed, only outlaws will have privacy”

Phil Zimmerman

Questa e` una guida pratica all’uso di LUKS su Linux.

LUKS e` un acronimo che sta per Linux Unified Key Setup ed e` il formato standard per il disk-encryption, creato nel 2004, si distingue da molti altri formati crittografici per la particolareggiata documentazione e soprattutto per esser stato sottoposto ad auditing, ovvero il processo di controllo del codice sorgente per verificarne l’integrita`, l’efficacia e la robustezza degli algoritmi e l’assenza di backdoor o bug software critici.

Il primo passo per utilizzare LUKS e` installarlo sulla propria distribuzione, o controllare se e` gia` presente.

Preparare la partizione

In questo esempio la partizione /dev/sda1 viene formattata e sovrascritta.

# cryptsetup -y -v luksFormat /dev/sda1
WARNING!
======== 
This will overwrite data on /dev/sda1 irrevocably.
Are you sure? (Type uppercase yes): YES 
Enter LUKS passphrase: 
Verify passphrase: 
Command successful.

In questo post useremo i parametri di default che sono:

# cryptsetup -v –cipher aes-xts-plain64 –key-size 256 –hash sha1 –iter-time 1000 –use-urandom –verify-passphrase luksFormat /dev/sda1

ed equivalgono al precedente; se si vuole adottare un livello di sicurezza maggiore e personalizzata si puo` eseguire

#cryptsetup benchmark

e scegliere il cypher e l’algoritmo che si preferisce. Si ricorda che il numero relativo alla dimensione della chiave e` la meta` di quello usato da LUKS, ovvero 512 bit in questo caso.

Il prossimo comando inizializza il volume dopo aver inserito la chiave per il volume. Il terzo argomento e` il nome che si vuole scegliere per la partizione.

La password scelta non puo` esser in nessun modo recuperata.

#cryptsetup luksOpen /dev/sda1 testvolume
Enter passphrase for /dev/sda1:

Ora /dev/sda1 correttemente inizializzato viene mappato su /dev/mapper/testvolume. Per verificare lo stato del volume:

# cryptsetup -v status testvolume
/dev/mapper/testvolume is active.
type: LUKS1
cipher: aes-cbc-essiv:sha256
keysize: 512 bits
device: /dev/sda1
offset: 4096
sectors size: 419426304
sectors mode: read/write
Command successful.

Formattare la partizione

Ora ci si deve assicurare che in caso di un’analisi esterna ogni dato venga visto come una serie random di zero ed uno senza valore e assicurarsi che non ci sia un leak di informazioni relative all’uso del disco:

# dd if=/dev/zero of=/dev/mapper/testvolume

Poi creare un filesystem, in questo caso ext4

# mkfs.ext4 /dev/mapper/testvolume

Montare e chiudere il disco

Per montare da /dev/mapper il disco e poterlo utilizzare digitare:

# mount /dev/mapper/testvolume /mnt/testvolume

e per chiudere il volume in maniera sicura:

# umount /mnt/testvolume
# cryptsetup luksClose testvolume

Cambiare password

LUKS supporta anche piu` di una password per volume quindi si procede aggiungendo una nuova password:

# cryptsetup luksAddKey /dev/sda1
 Enter any passphrase:
 Enter new passphrase for key slot:
 Verify passphrase:

e poi rimuovendo quella precedente:

# cryptsetup luksRemoveKey /dev/sda1

Oppure in alternativa si puo` utilizzare

#cryptsetup luksChangekey /dev/sda1

Se si volesse rendere completamente inaccessibile il volume basta rimuovere la chiave attraverso il comando:

#cryptsetup luksErase /dev/sda

questa opzione non richiede password ed e` irreversibile.

Francesco Mecca