Dm-crypt/es

dm-crypt es un sistema de cifrado de discos que utiliza el marco API de cifrado del núcleo y el subsistema mapeador de dispositivos. Con dm-crypt, los administradores no solo pueden cifrar discos enteros, volúmenes lógicos o particiones, sino también ficheros individuales.

El subsistema de dm-crypt da soporte a la estructura Linux Unified Key Setup (LUKS), lo que permite usar múltiples claves para acceder a los datos cifrados, así como manipular las claves (esto es, cambiar las claves, añadir frases de acceso adicionales, etc.). A pesar de que dm-crypt soporta configuraciones no solo para LUKS, este artículo se centrará en la funcionalidad de LUKS, sobre todo debido a su flexibilidad, capacidad de gestión, así como por su amplio apoyo por parte de la comunidad.

Configuración
Hay dos requisitos previos antes de poder comenzar a usar dm-crypt:


 * 1) Configurar el núcleo de Línux.
 * 2) Instalar el paquete.

Configurar el núcleo
Para usar dm-crypt hay una serie de entradas de configuración que deben quedar definidas.

En primer lugar, se debe incluir soporte para la infraestructura del mapeador de dispositivos así como para el objetivo a cifrar:

Luego, el núcleo de Línux necesita tener soporte para el conjunto de las API criptográficas que el administrador desee utilizar para el cifrado. Este se puede encontrar en la sección Cryptographic API:

Si se ha cifrado el sistema de ficheros root, entonces se debe crear un sistema de ficheros RAM inicial en el que el sistema de ficheros root sea descifrado antes de montarlo. Por lo tanto, esto requiere soporte para initramfs:

If using the tcrypt encryption option (TrueCrypt/tcplay/VeraCrypt compatibility mode), then the following items will also need to be added to the kernel. Otherwise, cryptsetup will return the following errors: "device-mapper: reload ioctl failed: Invalid argument" and "Kernel doesn't support TCRYPT compatible mapping".

Instalar cryptsetup
El paquete proporciona la orden, que se utiliza para abrir o cerrar el soporte que sirve de almacenamiento cifrado, así como para gestionar las frases de acceso o claves asociadas con él.

Benchmark
provides a benchmarking tool which will help to decide which setup to choose. The output depends on kernel settings as well as USE flags and destination (HDD, SSD etc.).

Fichero de claves o frase de acceso
Para comenzar con el almacenamiento cifrado, el administrador tendrá que decidir qué método utilizar para la clave de cifrado. Con la elección consistirá en una frase de acceso o en un fichero de claves. En el caso de un fichero de claves, este puede ser cualquier fichero, pero se recomienda utilizar un fichero con datos aleatorios que esté protegido adecuadamente (teniendo en cuenta que el acceso a este fichero de claves permitirá tener acceso a todos los datos cifrados).

Para crear un fichero de claves, se puede utilizar la orden :

En las siguientes secciones, mostraremos todas las órdenes para ambas situaciones —frase de acceso y fichero de claves—. Por supuesto, solo un método es necesario.

Crear una plataforma de almacenamiento cifrada
Con el fin de crear una plataforma de almacenamiento cifrada (que puede ser un disco, partición, fichero, ...) utilice la orden con la opción.

Por ejemplo, para tener como medio de almacenamiento para albergar los datos cifrados:

Para utilizar un fichero de claves, en lugar de una frase de acceso:

El parámetro  le dice a  qué longitud de clave (KeyLength) utilizar para la clave de cifrado vigente (a diferencia de la frase de acceso o fichero de claves, que se utilizan para tener acceso a esta clave de cifrado actual).

Abrir el almacenamiento cifrado
Con el fin de abrir el almacenamiento cifrado (es decir, que los datos reales sean accesibles a través del descifrado transparente), utilice la orden.

Si se utiliza un fichero de claves, la orden se vería así:

Cuando la orden termina con éxito, a continuación, un fichero de dispositivo nuevo, llamado, estará disponible.

Si esta es la primera vez que se utiliza este dispositivo cifrado, entonces necesita ser formateado. El siguiente ejemplo utiliza el sistema de archivos Btrfs pero, desde luego, se puede utilizar cualquier otro:

Una vea se ha dado formato al sistema de archivos o ya se ha realizado el formato anteriormente, el fichero de dispositivo se puede montar en el sistema:

Cerrar el almacenamiento cifrado
Con el fin de cerrar el almacenamiento cifrado (es decir, asegurarse de que los datos reales ya no son accesibles a través del descifrado transparente), utilice la orden :

Por supuesto, asegúrese de que el dispositivo ya no está en uso.

Manipular las claves de LUKS
Las claves de LUKS se utilizan para acceder a la clave de cifrado real. Se almacenan en ranuras (slots) en la cabecera de la de partición (cifrada), disco o fichero.

Listar los slots
Con la orden  puede mostrarse la información sobre la partición cifrada, disco o fichero. Esto incluye las ranuras o slots:

En el ejemplo anterior, se observa que son utilizadas dos ranuras. Tenga en cuenta que  no muestra información sensible —simplemente muestra el contenido de la cabecera LUKS—. tiene que ser invocado sin proporcionar clave de descifrado.

Añadir un fichero de claves o frase de acceso
Para agregar un fichero de claves o frase de acceso (passphrase) adicional para acceder al almacenamiento cifrado, utilice la orden :

Para utilizar un fichero de claves para desbloquear la clave (pero aún así, teniendo que añadir una frase de acceso):

Si se añade un fichero de claves (por ejemplo ):

O, para usar el primer fichero de claves para desbloquear la clave principal:

Eliminar un fichero de claves o frase de acceso
Con la orden  se puede eliminar un fichero de claves o la frase de acceso (para que ya no se pueden utilizar para descifrar el almacenamiento). Así, para eliminar una frase de acceso:

O así, para eliminar un fichero de claves:

Asegúrese de que, al menos, quede un método disponible para acceder a los datos. Una vez que se elimina una frase de acceso o fichero de claves para su uso, este no se puede recuperar de nuevo.

Vaciar un slot
Supongamos que la frase de acceso o fichero de claves ya no se recuerda, entonces la ranura puede ser liberada. Por supuesto, esto requiere un conozcamos previamente cúal es la ranura en la que la frase de acceso o fichero de claves estaba almacenada.

Por ejemplo, para vaciar la ranura 2 (que es la tercera de las ranuras, dado que se enumeran a partir de 0):

Esta orden le pedirá una contraseña válida antes de continuar. O, se puede indicar el fichero de claves que se debe utilizar:

Automatizar el montaje de sistemas de ficheros cifrados
Hasta ahora, el artículo se ha centrado en la configuración manual y en el montaje y desmontaje de sistemas de ficheros cifrados. El servicio de inicio  automatiza el descifrado y montaje de los sistemas de ficheros cifrados.

Configurar dm-crypt
Editar el fichero y añadir entradas para cada sistema de ficheros. Las entradas permitidas están bien documentadas en el fichero, el ejemplo de abajo es solo eso, un ejemplo:

Configurar fstab
El siguiente paso es configurar para montar automáticamente los sistemas de ficheros (descifrados) cuando están disponibles. Se recomienda obtener en primer lugar el UUID del sistema de ficheros descifrado (montado):

A continuación actualizar el fichero adecuadamente:

Añadir el guión de inicio al nivel de arranque
No olvidar que se debe lanzar el guión de inicio en el arranque:

Make decrypted device nodes visible
If you have decrypted/unlocked a device before the services were started for example your root disk in an with an initramfs then it's possible that the mapped device is not visible. In this case you can run the following to recreate it.

Mounting TrueCrypt/tcplay/VeraCrypt volumes
Replace container-to-mount with the device file under or the path to the file you wish to open. Upon successful opening, the plaintext device will appear as, which you can  like any normal device.

If you are using key files, supply them using the  option, to open a hidden volume, supply the   option and for a partition or whole drive that is encrypted in system mode use the   option.

When done,  the volume, and close the container using the following command:

External resources

 * The cryptsetup FAQ hosted on GitLab covers a wide range of frequently asked questions.