Linux Unified Key Setup è il nuovo standard per la criptazioni e decriptazione delle partizioni e dei dispositivi di archiviazione in generale (Chiavette USB, hard disk esterni…).
LUKS dovrebbe sostituire tutti i vari metodi usati finora e diventare l’unico standard nel mondo Linux.
Contenuti
1 Caratteristiche di LUKS 2 Programmi che usano LUKS 2.1 cryptsetup luks 2.2 moduli del kernel 3 Links |
Caratteristiche di LUKS
- compatibile con gli standard
- presente in quasi tutte distribuzioni
- sicuro contro gli attacchi di bassa entropia
- permette l’uso di chiavi multiple
- permette la revoca delle chiavi
- permette perfino la revoca di tutte le chiavi rendendo non più decriptabile il disco.
- permette di cambiare la chiave
- permette l’accesso selezionato alle varie partizioni
Programmi che usano LUKS
Ci sono diversi progetti che implementano LUKS.
cryptsetup luks
Il programma per criptare e decriptare è cryptsetup che si può scaricare dal seguente sito.
crypsetup
- Con Debian installando il pacchetto cryptsetup si ha oltre al software anche gli script di avvio.
- Gentoo mette a disposizione script per l’avvio. E genkernel, il programma di Gentoo per l’automatizzazione della compilazione del kernel, genera una initramfs pronta per il boot da root criptata.
genkernel --luks all # per generare, kernel, moduli e l'initramfs predisposta per luks. emerge cryptsetup-luks # da non confondere con cryptsetup. Attenzione!
moduli del kernel
Per usare luks bisogna usare i seguenti moduli
- dm-mod (CONFIG_BLK_DEV_DM=y) per abilitare il supporto alla partizioni virtuali. (Device Mapper)
- dm-crypt (CONFIG_DM_CRYPT=y) per abilitare la partizione virtuali criptate
- serpent
- sha256
- blowfish
#comando per caricarli in un colpo solo ;) for i in dm-crypt dm-mod serpent sha256 blowfish do ;do modprobe $i;done
Se si ha intenzione di criptare anche la partizione root e si ha, quindi,l’esigenza di decriptare la partizione root in fase di boot è consigliato compilare i moduli all’interno della parte monolitica.