Dm-crypt/es

dm-crypt es un sistema de cifrado de discos que utiliza el marco API de cifrado del núcleo y el subsistema mapeador de dispositivos. Con dm-crypt, los administradores no solo pueden cifrar discos enteros, volúmenes lógicos o particiones, sino también ficheros individuales.

El subsistema de dm-crypt da soporte a la estructura Linux Unified Key Setup (LUKS), lo que permite usar múltiples claves para acceder a los datos cifrados, así como manipular las claves (esto es, cambiar las claves, añadir frases de acceso adicionales, etc.). A pesar de que dm-crypt soporta configuraciones no solo para LUKS, este artículo se centrará en la funcionalidad de LUKS, sobre todo debido a su flexibilidad, capacidad de gestión, así como por su amplio apoyo por parte de la comunidad.

Configuración
Hay dos requisitos previos antes de poder comenzar a usar dm-crypt:


 * 1) Configurar el núcleo de Línux.
 * 2) Instalar el paquete.

Configurar el núcleo
Para usar dm-crypt hay una serie de entradas de configuración que deben quedar definidas.

En primer lugar, se debe incluir soporte para la infraestructura del mapeador de dispositivos así como para el objetivo a cifrar:

Luego, el núcleo de Línux necesita tener soporte para el conjunto de las API criptográficas que el administrador desee utilizar para el cifrado. Este se puede encontrar en la sección Cryptographic API:

Si se ha cifrado el sistema de ficheros root, entonces se debe crear un sistema de ficheros RAM inicial en el que el sistema de ficheros root sea descifrado antes de montarlo. Por lo tanto, esto requiere soporte para initramfs:

Instalar cryptsetup
El paquete proporciona la orden, que se utiliza para abrir o cerrar el soporte que sirve de almacenamiento cifrado, así como para gestionar las frases de acceso o claves asociadas con él.

Fichero de claves o frase de acceso
Para comenzar con el almacenamiento cifrado, el administrador tendrá que decidir qué método utilizar para la clave de cifrado. Con la elección consistirá en una frase de acceso o en un fichero de claves. En el caso de un fichero de claves, este puede ser cualquier fichero, pero se recomienda utilizar un fichero con datos aleatorios que esté protegido adecuadamente (teniendo en cuenta que el acceso a este fichero de claves permitirá tener acceso a todos los datos cifrados).

Para crear un fichero de claves, se puede utilizar la orden :

En las siguientes secciones, mostraremos todas las órdenes para ambas situaciones —frase de acceso y fichero de claves—. Por supuesto, solo un método es necesario.

Crear una plataforma de almacenamiento cifrada
Con el fin de crear una plataforma de almacenamiento cifrada (que puede ser un disco, partición, fichero, ...) utilice la orden con la opción.

Por ejemplo, para tener como medio de almacenamiento para albergar los datos cifrados:

Para utilizar un fichero de claves, en lugar de una frase de acceso:

El parámetro  le dice a  qué longitud de clave (KeyLength) utilizar para la clave de cifrado vigente (a diferencia de la frase de acceso o fichero de claves, que se utilizan para tener acceso a esta clave de cifrado actual).

Abrir el almacenamiento cifrado
Con el fin de abrir el almacenamiento cifrado (es decir, que los datos reales sean accesibles a través del descifrado transparente), utilice la orden.

Si se utiliza un fichero de claves, la orden se vería así:

Cuando la orden termina con éxito, a continuación, un fichero de dispositivo nuevo, llamado, estará disponible.

Si esta es la primera vez que se utiliza este dispositivo cifrado, entonces necesita ser formateado. El siguiente ejemplo utiliza el sistema de archivos Btrfs pero, desde luego, se puede utilizar cualquier otro:

Una vea se ha dado formato al sistema de archivos o ya se ha realizado el formato anteriormente, el fichero de dispositivo se puede montar en el sistema:

Cerrar el almacenamiento cifrado
Con el fin de cerrar el almacenamiento cifrado (es decir, asegurarse de que los datos reales ya no son accesibles a través del descifrado transparente), utilice la orden :

Por supuesto, asegúrese de que el dispositivo ya no está en uso.

Manipular las claves de LUKS
Las claves de LUKS se utilizan para acceder a la clave de cifrado real. Se almacenan en ranuras (slots) en la cabecera de la de partición (cifrada), disco o fichero.

Listar los slots
Con la orden  puede mostrarse la información sobre la partición cifrada, disco o fichero. Esto incluye las ranuras o slots:

En el ejemplo anterior, se observa que son utilizadas dos ranuras. Tenga en cuenta que  no muestra información sensible —simplemente muestra el contenido de la cabecera LUKS—. tiene que ser invocado sin proporcionar clave de descifrado.

Añadir un fichero de claves o frase de acceso
Para agregar un fichero de claves o frase de acceso (passphrase) adicional para acceder al almacenamiento cifrado, utilice la orden :

Para utilizar un fichero de claves para desbloquear la clave (pero aún así, teniendo que añadir una frase de acceso):

Si se añade un fichero de claves (por ejemplo ):

O, para usar el primer fichero de claves para desbloquear la clave principal:

Eliminar un fichero de claves o frase de acceso
Con la orden  se puede eliminar un fichero de claves o la frase de acceso (para que ya no se pueden utilizar para descifrar el almacenamiento). Así, para eliminar una frase de acceso:

O así, para eliminar un fichero de claves:

Asegúrese de que, al menos, quede un método disponible para acceder a los datos. Una vez que se elimina una frase de acceso o fichero de claves para su uso, este no se puede recuperar de nuevo.

Vaciar un slot
Supongamos que la frase de acceso o fichero de claves ya no se recuerda, entonces la ranura puede ser liberada. Por supuesto, esto requiere un conozcamos previamente cúal es la ranura en la que la frase de acceso o fichero de claves estaba almacenada.

Por ejemplo, para vaciar la ranura 2 (que es la tercera de las ranuras, dado que se enumeran a partir de 0):

Esta orden le pedirá una contraseña válida antes de continuar. O, se puede indicar el fichero de claves que se debe utilizar:

Automate mounting encrypted file systems
Until now, the article focused on manual setup and mounting/unmounting of encrypted file systems. An init service exists which automates the decrypting and mounting of encrypted file systems.

Configuring dm-crypt
Edit the file and add in entries for each file system. The supported entries are well documented in the file, the below example is just that - an example:

Configuring fstab
The next step is to configure to automatically mount the (decrypted) file systems when they become available. It is recommended to first obtain the UUID of the decrypted (mounted) file system:

Then, update the file accordingly:

Add initscript to bootlevel
Don't forget to have the init service launched at boot:

Recursos adicionales

 * Dm-crypt full disk encryption en la Wiki de Gentoo proporciona información adicional sobre la utilización de sistemas de archivos cifrados para instalaciones de Gentoo Linux.
 * El cryptsetup FAQ alojado en GitLab cubre un amplio rango de preguntas frecuentes.