Criptare una partizione - Articolo di ale.v
Gli ultimi kernel di linux implementano la criptografia dei file system.
Sono necessari pochi passi per formattare e poi utilizzare una partizione criptata.
In questo esempio prepariamo una partizione della penna usb /dev/sdb1.
Lo standard di crittografia che si utilizza è LUKS, Linux Unified Key Setup.
1) Preparazione della partizione
Innanzitutto la partizione va preparata per la crittografia, con l'utilizzo del comando cryptsetup:
$ cryptsetup luksFormat /dev/sdb1 -c aes -s 256 -h sha256 -y
All'esecuzione del comando verrà richiesta anche la password per decriptare i dati.
Descriviamo molto brevemente anche i parametri e le opzioni:
luksFormat per preparare il fs in formato LUKS
-c aes per la stinga di cifratura
-h sha256 per la lunghezza della della chiave (default 128)
-y chiede conferma della password immessa
Questo passo è necessario solo la prima volta.
2) Associazione della partizione con un dispositivo virtuale
Dopo aver impostato la cifratura della partizione (o nel caso di partizione già pronta) si deve “aprire” la partizione criptata per utilizzarla, associandola ad un dispositivo virtuale in /dev/mapper:
$ cryptsetup luksOpen /dev/sdb1 pennausb
In questo caso pennausb, rappresenta un nome arbitrario assegnato alla partizione, che ora sarà visibile dal sistema, come dispositivo /dev/mapper/pennausb.
In generale, la password per leggere i dati in chiaro verrà richiesta in questo momento.
3) Formattare la partizione
Ora se necessario si può formattare il dispositivo appena aperto, per esempio con ext3:
$ mke2fs -j /dev/mapper/pennausb
4) Montare la partizione
A questo punto la partizione si può montare come al solito:
$ mount /dev/mapper/pennausb /mnt
Altre informazioni utili:
Per montare la partizione all'avvio si può aggiungere la seguente riga nell /etc/fstab:
/dev/mapper/nome /data ext3 defaults 0 0
In questo caso la password verrà chiesta all'avvio del sistema.
Se si tenta di montare una partizione criptata si ottiene il seguente errore:
$ mount /dev/sdb1 /mnt
mount: tipo di filesystem 'crypt_LUKS' sconosciuto
Si possono aggiungere più password per accedere alla partizione:
$ cryptsetup luksAddKey /dev/sdb1
Analogamente si possono eliminare password
$ cryptsetup luksDelKey /dev/sdb1 1
dove l'argomento 1 rappresenta il numero dello “slot” della password.
Per avere informazioni sulla vostra partizione criptata e sugli “slot” assegnati per le chiavi:
$ cryptsetup status name
$ cryptsetup luksDump /dev/sdb1