Dm-crypt

From Gentoo Wiki
Jump to: navigation, search
This page is a translated version of the page Dm-crypt and the translation is 100% complete.

Other languages:
Deutsch • ‎English • ‎español • ‎日本語 • ‎한국어 • ‎português do Brasil • ‎русский • ‎中文(中国大陆)‎


Resources

dm-crypt es un sistema de cifrado de discos que utiliza el marco API de cifrado del núcleo y el subsistema mapeador de dispositivos. Con dm-crypt, los administradores no solo pueden cifrar discos enteros, volúmenes lógicos o particiones, sino también ficheros individuales.

El subsistema de dm-crypt da soporte a la estructura Linux Unified Key Setup (LUKS), lo que permite usar múltiples claves para acceder a los datos cifrados, así como manipular las claves (esto es, cambiar las claves, añadir frases de acceso adicionales, etc.). A pesar de que dm-crypt soporta configuraciones no solo para LUKS, este artículo se centrará en la funcionalidad de LUKS, sobre todo debido a su flexibilidad, capacidad de gestión, así como por su amplio apoyo por parte de la comunidad.

Configuración

Hay dos requisitos previos antes de poder comenzar a usar dm-crypt:

  1. Configurar el núcleo de Línux.
  2. Instalar el paquete sys-fs/cryptsetup.

Configurar el núcleo

Para usar dm-crypt hay una serie de entradas de configuración que deben quedar definidas.

En primer lugar, se debe incluir soporte para la infraestructura del mapeador de dispositivos así como para el objetivo a cifrar:

KERNEL Activar mapeador de dispositivos y objetivo a cifrar
[*] Enable loadable module support
Device Drivers --->
    [*] Multiple devices driver support (RAID and LVM) --->
        <*> Device mapper support
        <*>   Crypt target support

Luego, el núcleo de Línux necesita tener soporte para el conjunto de las API criptográficas que el administrador desee utilizar para el cifrado. Este se puede encontrar en la sección Cryptographic API:

KERNEL Activar las funciones de la API de criptografía
[*] Cryptographic API --->
    <*> XTS support
    <*> SHA224 and SHA256 digest algorithm
    <*> AES cipher algorithms
    <*> AES cipher algorithms (x86_64)
    <*> User-space interface for symmetric key cipher algorithms

Si se ha cifrado el sistema de ficheros root, entonces se debe crear un sistema de ficheros RAM inicial en el que el sistema de ficheros root sea descifrado antes de montarlo. Por lo tanto, esto requiere soporte para initramfs:

KERNEL Activar soporte initramfs
General setup  --->
    [*] Initial RAM filesystem and RAM disk (initramfs/initrd) support

Instalar cryptsetup

El paquete sys-fs/cryptsetup proporciona la orden cryptsetup, que se utiliza para abrir o cerrar el soporte que sirve de almacenamiento cifrado, así como para gestionar las frases de acceso o claves asociadas con él.

root #emerge --ask sys-fs/cryptsetup

Almacenamiento cifrado

Fichero de claves o frase de acceso

Para comenzar con el almacenamiento cifrado, el administrador tendrá que decidir qué método utilizar para la clave de cifrado. Con cryptsetup la elección consistirá en una frase de acceso o en un fichero de claves. En el caso de un fichero de claves, este puede ser cualquier fichero, pero se recomienda utilizar un fichero con datos aleatorios que esté protegido adecuadamente (teniendo en cuenta que el acceso a este fichero de claves permitirá tener acceso a todos los datos cifrados).

Para crear un fichero de claves, se puede utilizar la orden dd:

root #dd if=/dev/urandom of=/etc/keys/enc.key bs=1 count=4096

En las siguientes secciones, mostraremos todas las órdenes para ambas situaciones —frase de acceso y fichero de claves—. Por supuesto, solo un método es necesario.

Crear una plataforma de almacenamiento cifrada

Con el fin de crear una plataforma de almacenamiento cifrada (que puede ser un disco, partición, fichero, ...) utilice la orden cryptsetup con la opción luksFormat.

Por ejemplo, para tener /dev/vdb2 como medio de almacenamiento para albergar los datos cifrados:

root #cryptsetup -s 512 luksFormat /dev/vdb2
This will overwrite data on /dev/vdb2 irrevocably.
  
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase: ...
Verify passphrase: ...

Para utilizar un fichero de claves, en lugar de una frase de acceso:

root #cryptsetup -s 512 luksFormat /dev/vdb2 /etc/keys/enc.key
This will overwrite data on /dev/vdb2 irrevocably.
  
Are you sure? (Type uppercase yes): YES

El parámetro -s 512 le dice a cryptsetup qué longitud de clave (KeyLength) utilizar para la clave de cifrado vigente (a diferencia de la frase de acceso o fichero de claves, que se utilizan para tener acceso a esta clave de cifrado actual).

Abrir el almacenamiento cifrado

Con el fin de abrir el almacenamiento cifrado (es decir, que los datos reales sean accesibles a través del descifrado transparente), utilice la orden luksOpen.

root #cryptsetup luksOpen /dev/vdb2 myname
Enter passphrase for /dev/vdb2: ...

Si se utiliza un fichero de claves, la orden se vería así:

root #cryptsetup luksOpen -d /etc/keys/enc.key /dev/vdb2 nombredeldispositivo

Cuando la orden termina con éxito, a continuación, un fichero de dispositivo nuevo, llamado /dev/mapper/nombredeldispositivo, estará disponible.

Si esta es la primera vez que se utiliza este dispositivo cifrado, entonces necesita ser formateado. El siguiente ejemplo utiliza el sistema de archivos Btrfs pero, desde luego, se puede utilizar cualquier otro:

root #mkfs.btrfs /dev/mapper/minombre

Una vea se ha dado formato al sistema de archivos o ya se ha realizado el formato anteriormente, el fichero de dispositivo se puede montar en el sistema:

root #mount /dev/mapper/nombredeldispositivo /home

Cerrar el almacenamiento cifrado

Con el fin de cerrar el almacenamiento cifrado (es decir, asegurarse de que los datos reales ya no son accesibles a través del descifrado transparente), utilice la orden luksClose:

root #cryptsetup luksClose nombredeldispositivo

Por supuesto, asegúrese de que el dispositivo ya no está en uso.

Manipular las claves de LUKS

Las claves de LUKS se utilizan para acceder a la clave de cifrado real. Se almacenan en ranuras (slots) en la cabecera de la de partición (cifrada), disco o fichero.

Listar los slots

Con la orden luksDump puede mostrarse la información sobre la partición cifrada, disco o fichero. Esto incluye las ranuras o slots:

root #cryptsetup luksDump /dev/vdb2
LUKS header information for /dev/vdb2
  
Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      34 3b ec ac 10 af 19 e7 e2 d4 c8 90 eb a8 da 3c e4 4f 2e ce
MK salt:        ff 7c 7f 53 db 53 48 02 a4 32 dc e0 22 fc a3 51
                06 ba b3 48 b3 28 13 a8 7a 68 43 d6 46 79 14 fe
MK iterations:  59375
UUID:           2921a7c9-7ccb-4300-92f4-38160804e08c
  
Key Slot 0: ENABLED
        Iterations:             241053
        Salt:                   90 0f 0f db cf 66 ea a9 6c 7c 0c 0d b0 28 05 2f
                                8a 5c 14 54 98 62 1a 29 f3 08 25 0c ec c2 b1 68
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: ENABLED
        Iterations:             273211
        Salt:                   01 4c 26 ed ff 18 75 31 b9 89 5d a6 e0 b5 f4 14
                                48 d0 23 47 a9 85 78 fb 76 c4 a9 d0 cd 63 fb d7
        Key material offset:    512
        AF stripes:             4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

En el ejemplo anterior, se observa que son utilizadas dos ranuras. Tenga en cuenta que luksDump no muestra información sensible —simplemente muestra el contenido de la cabecera LUKS—. luksDump tiene que ser invocado sin proporcionar clave de descifrado.

Añadir un fichero de claves o frase de acceso

Para agregar un fichero de claves o frase de acceso (passphrase) adicional para acceder al almacenamiento cifrado, utilice la orden luksAddKey:

root #cryptsetup luksAddKey /dev/vdb2
Enter any passphrase: (Enter a valid, previously used passphrase to unlock the key)
Enter new passphrase for key slot: ... 
Verify passphrase: ...

Para utilizar un fichero de claves para desbloquear la clave (pero aún así, teniendo que añadir una frase de acceso):

root #cryptsetup luksAddKey -d /etc/keys/enc.key /dev/vdb2
Enter new passphrase for key slot: ...
Verify passphrase: '''

Si se añade un fichero de claves (por ejemplo /etc/keys/backup.key):

root #cryptsetup luksAddKey /dev/vdb2 /etc/keys/backup.key

O, para usar el primer fichero de claves para desbloquear la clave principal:

root #cryptsetup luksAddKey -d /etc/keys/enc.key /dev/vdb2 /etc/keys/backup.key

Eliminar un fichero de claves o frase de acceso

Con la orden luksRemoveKey se puede eliminar un fichero de claves o la frase de acceso (para que ya no se pueden utilizar para descifrar el almacenamiento). Así, para eliminar una frase de acceso:

root #cryptsetup luksRemoveKey /dev/vdb2
Enter LUKS passphrase to be deleted: ...

O así, para eliminar un fichero de claves:

root #cryptsetup luksRemoveKey -d /etc/keys/backup.key /dev/vdb2

Asegúrese de que, al menos, quede un método disponible para acceder a los datos. Una vez que se elimina una frase de acceso o fichero de claves para su uso, este no se puede recuperar de nuevo.

Vaciar un slot

Supongamos que la frase de acceso o fichero de claves ya no se recuerda, entonces la ranura puede ser liberada. Por supuesto, esto requiere un conozcamos previamente cúal es la ranura en la que la frase de acceso o fichero de claves estaba almacenada.

Por ejemplo, para vaciar la ranura 2 (que es la tercera de las ranuras, dado que se enumeran a partir de 0):

root #cryptsetup luksKillSlot /dev/vdb2 2

Esta orden le pedirá una contraseña válida antes de continuar. O, se puede indicar el fichero de claves que se debe utilizar:

root #cryptsetup luksKillSlot -d /etc/keys/enc.key /dev/vdb2 2

Automatizar el montaje de sistemas de ficheros cifrados

Hasta ahora, el artículo se ha centrado en la configuración manual y en el montaje y desmontaje de sistemas de ficheros cifrados. El servicio de inicio dmcrypt automatiza el descifrado y montaje de los sistemas de ficheros cifrados.

Configurar dm-crypt

Editar el fichero /etc/conf.d/dmcrypt y añadir entradas para cada sistema de ficheros. Las entradas permitidas están bien documentadas en el fichero, el ejemplo de abajo es solo eso, un ejemplo:

ARCHIVO /etc/conf.d/dmcryptHabilitar automáticamente dos sistemas de ficheros cifrados
# Definición para /dev/mapper/home (para /home)
target=home
source=UUID="abcdef12-321a-a324-a88c-cac412befd98"
key=/etc/keys/home.key
 
# Definición para /dev/mapper/local (para /usr/local)
target=local
source=UUID="fedcba34-4823-b423-a94c-cadbefda2943"
key=/etc/keys/local.key

Configurar fstab

El siguiente paso es configurar /etc/fstab para montar automáticamente los sistemas de ficheros (descifrados) cuando están disponibles. Se recomienda obtener en primer lugar el UUID del sistema de ficheros descifrado (montado):

root #blkid /dev/mapper/home
/dev/mapper/home: UUID="4321421a-4321-a6c9-de52-ba6421efab76" TYPE="ext4"

A continuación actualizar el fichero /etc/fstab adecuadamente:

ARCHIVO /etc/fstabMontar de forma automática los sistemas de ficheros cifrados
UUID="4321421a-4321-a6c9-de52-ba6421efab76"   /home        ext4   defaults   0   0
UUID="bdef2432-3bd1-4ab4-523d-badcf234a342"   /usr/local   ext4   defaults   0   0

Añadir el guión de inicio al nivel de arranque

No olvidar que se debe lanzar el guión de inicio dmcrypt en el arranque:

root #rc-update add dmcrypt boot

Recursos adicionales

  • Dm-crypt full disk encryption en la Wiki de Gentoo proporciona información adicional sobre la utilización de sistemas de archivos cifrados para instalaciones de Gentoo Linux.
  • El cryptsetup FAQ alojado en GitLab cubre un amplio rango de preguntas frecuentes.