Dm-crypt

Usando dm-crypt (e i vari tool relativi) è possibile creare in modo quasi facile interi dischi o partizioni crittografati.

Il principale svantaggio di dm-crypt è che non esiste su sistemi diversi da Linux. L'altro ovvio svantaggio è che un danneggiamento del disco rischia di corrompere irrimediabilmente tutto il contenuto. Ah, ovviamente se vi dimenticate la password siete più o meno fregati.

Il vantaggio è che i vostri dati non saranno accessibili in alcun modo senza la password.

Sui moderni ambienti grafici (Gnome, Kde, Cinnamon, ecc) l'uso di dischi esterni crittografati è semplificato e integrato nella interfaccia grafica. Ma questo non è argomento che mi interessi per il momento.

Usando dm-crypt possiamo creare dischi crittografati in diversi formati (vedi man cryptsetup). Ora però mi occuperò solo del formato LUKS. Sta uscendo in questi giorni il nuovo formato LUKS2, che però per il momento non credo sia il caso di prendere in considerazione, per motivi di stabilità e compatibilità con i sistemi più vecchi.

Pacchetti necessari

È necessario avere installato il pacchetto "cryptsetup". Tecnicamente, servono i tool userspace (che stanno in cryptsetup in Debian) e il modulo del kernel dm_crypt, che dovrebbe essere presente nel kernel standard di Debian.

È utile anche avere i tool per gestire i dischi GPT, quindi il pacchetto "gdisk"

Come partizionare un disco

È possibile usare un intero disco come contenitore per i dati crittati, oppure una partizione. Se si vuole potersi riferire alla partizione per nome e non per device, occorre per forza usare una partizione GPT, in quanto solo nella struttura GPT è possibile dare un nome univoco e umanamente leggibile a una partizione. In alternativa, sarà possibile indicare la partizione (o il disco) usando lo UUID (/dev/disk/by-uuid/<uuid-del-mio-disco>), ma questo pone limiti quando per esempio si vogliono usare diversi dischi per lo stesso scopo, come ad esempio diversi dischi USB che si ruotano per fare un backup.

Pertanto, tenendo in considerazione che comunque i dati crittati potranno essere letti solo da Linux (almeno per ora), userò dischi esterni partizionati GPT.

Partiamo da un disco vuoto, creiamo una partizione GPT che lo occupi tutto, usando gdisk o il suo fratello più user friendly, cgdisk.
La partizione sarà di tipo 83 (linux) e le daremo un nome, per esempio "usb-backup-encrypted"

Verificare le prestazioni dell' hardware

Prima di creare un disco crittato, possiamo voler verificare le prestazioni della nostra CPU per capire quali sono gli algoritmi più performanti. Eseguendo cryptsetup benchmark possiamo vedere le prestazioni massime dei vari algoritmi. Il default usato da cryptsetup, se non lo impostiamo diversamente, è aes-xts, il quale (almeno sulla mia cpu) è assolutamente il più performante.

Creare l' header LUKS

Questo comando crea di fatto la struttura dati necessaria a gestire il disco crittato in formato LUKS, impostando una password per la decrittazione (la password è impostata in maniera interattiva). Notare che faccio riferimento al disco usando il nome di partizione che ho dato prima. Potrei anche usare il nome del device, non cambia nulla. Fa sempre riferimento alla stessa partizione.

cryptsetup -v luksFormat /dev/disk/by-partlabel/usb-backup-encrypted

Montare il disco crittato e formattarlo

Ora dobbiamo montare il disco crittato e formattarlo, per poterlo usare come vogliamo.

Monto il disco fisico nominato /dev/disk/by-partlabel/usb-backup-encrypted e lo rendo disponibile come un device con il nome /dev/mapper/usb-backup-unlocked
```
cryptsetup open /dev/disk/by-partlabel/usb-backup-encrypted usb-backup-unlocked
```
Ora posso formattare il device "decrittato"
```
mkfs.ext4 /dev/mapper/usb-backup-unlocked
```
A questo punto posso montare il file system e usarlo liberamente
```
mount /dev/mapper/usb-backup-unlocked /mnt
```

Smontare il disco crittato

Procediamo a rovescio, quindi prima smontiamo il file system dal device "decrittato", e poi lo disattiviamo.

umount /mnt
cryptsetup close usb-backup-unlocked

Comandi utili

Per visualizzare informazioni sulla partizione crittata (anche se non è montata)
```
cryptsetup luksDump /dev/disk/by-partlabel/usb-backup-encrypted
```
Per aggiungere una password alla partizione crittata (anche se non è montata) usando il prossimo key slot libero (senza disattivare le password precedentemente impostate!). Notare che vi viene chiesta una delle password già impostate. Questo è necessario per poter decrittare la chiave "master" e poterla poi ri-crittare anche con la nuova password. Posso indicare uno slot specifico usando il parametro "--key-slot"
```
# nel primo slot libero
cryptsetup  luksAddKey /dev/disk/by-partlabel/usb-backup-encrypted

# specificando uno slot preciso
cryptsetup  luksAddKey /dev/disk/by-partlabel/usb-backup-encrypted --slot 5
```

Per modificare una password in uno slot specifico:

cryptsetup  luksChangeKey /dev/disk/by-partlabel/usb-backup-encrypted  --key-slot 1

Per eliminare una password da uno slot specifico: (attenzione: se rimuoviamo tutte le password, non accederemo mai più al disco a meno che non abbiamo un backup dell' header LUKS!). Notare che se non specifichiamo il numero dello slot, verrà rimossa la password che viene inserita, dal primo slot che la contiene. (due slot possono contenere password identiche volendo)
```
cryptsetup  luksRemoveKey /dev/disk/by-partlabel/usb-backup-encrypted  --key-slot 1
```
Per eliminare una password da uno slot specifico, senza conoscere la password che vogliamo rimuovere. In pratica così facendo un utente che conosce una password può eliminare la password di un altro utente senza conoscerla. Nota: usando questo comando non è possibile, almeno in teoria, killare per sbaglio lo slot del quale conosciamo la password. In altri termini, questo comando non dovrebbe mai "suicidarsi" eliminando lo slot che contiene la password che abbiamo digitato. In ogni caso meglio prima effettuare un backup dell'header e/o un controllo con luksOpen --test-passphrase (vedi più avanti). (notare la sintassi leggermente diversa, il numero dello slot è obbligatorio e non è preceduto da "--key-slot")
```
cryptsetup  luksKillSlot /dev/disk/by-partlabel/usb-backup-encrypted 1
```
Per cancellare irrimediabilmente tutte le password da tutti gli slot, rendendo così impossibile il recupero dei dati a meno che non si abbia un backup dell'header LUKS medesimo: (Attenzione: non richiede nessuna conferma!)
```
cryptsetup luksErase /dev/disk/by-partlabel/usb-backup-encrypted 
```
Per fare un backup dell'header LUKS. Con il backup sarà possibile accere al disco usando le password che erano in uso al momento del backup, indipendentemente da qualsiasi cosa sia successa all' header LUKS dopo il backup.
```
cryptsetup luksHeaderBackup /dev/disk/by-partlabel/usb-backup-encrypted --header-backup-file /tmp/backup
```
Per provare se un header backuppato permette di accedere a un device crittato: (In pratica su usa un header su un file esterno per accedere al device, montandolo con il comando open e indicando un header su un file esterno. Ricordiamoci che se il comando riesce poi abbiamo il device montato, dobbiamo fare un close se non vogliamo usarlo ulteriormente.)
```
cryptsetup -v --header /tmp/backup open /dev/disk/by-partlabel/usb-backup-encrypted usb-backup-unlocked
```
Per fare un restore dell'header LUKS da un file di backup, dopo averlo provato da file esterno e aver visto che funziona:
```
cryptsetup luksHeaderRestore /dev/disk/by-partlabel/usb-backup-encrypted --header-backup-file /tmp/backup
```
Per fare un dump della master key: (Attenzione, il dump della master key permette di accedere ai dati anche senza conoscere le password. La master key non può essere cambiata se non distruggendo e rifacendo il volume crittato. La master key viene dumpata come ultime righe nel testo di output, preceduta dal testo MK dump:)
```
cryptsetup luksDump /dev/disk/by-partlabel/usb-backup-encrypted --dump-master-key
```
Per verificare se in uno specifico slot è memorizzata una specifica password a noi nota. Serve se abbiamo più slot usati e non sappiamo quale password sia in quale slot.
```
cryptsetup luksOpen --test-passphrase --key-slot 1 /dev/sdb1 && echo correct
```
Cambiare l' UUID della partizione crittata (utile se il kernel vecchio non usa /dev/disk/by-partlabel ma solo by-uuid)
```
cryptsetup luksUUID /dev/sda1 --uuid <uuid che voglio impostare>
```

Uno script di backup su USB che usa dm-crypt

Questo è uno script che usa dm-crypt per creare backup su dischi usb (qui con tar, ma possiamo usare rsync o quello che vogliamo). La password è hardcoded nello script, il che lo rende potenzialmente poco sicuro. Lo scopo di questo script però è quello di rendere inutilizzabile il backup sul disco esterno, supponendo che non si abbia accesso al server sul quale è presente lo script con la relativa password. È logico che è opportuno scriversi da qualche parte la password e tenerla al sicuro separata dai dischi di backup. Senza la password il backup è inutile!

#
#!/bin/bash
#

# Impostazioni:
encrypted_device_name="/dev/disk/by-partlabel/usb-backup-encrypted"
unlocked_device_name="usb-backup-unlocked"
password="pippo"
mountpoint="/mnt"


logger -t backup_usb Inizio backup

# check se il mountpoint e gia in uso
#if ! [ -f /$mountpoint/not_mounted ];
if mountpoint -q $mountpoint; then
  echo "Backup fallito: $mountpoint e' gia' montata!";
  logger -t backup_usb "Backup fallito: $mountpoint e' gia' montata!";
  exit 1
fi;

# se non e` in uso, la monto
echo -n $password | cryptsetup open $encrypted_device_name $unlocked_device_name -

mount /dev/mapper/$unlocked_device_name $mountpoint


if mountpoint -q $mountpoint; then

  echo `date` Ruoto i vecchi files
  logger -t backup_usb Ruoto i vecchi files
  savelog -l -c 2 /mnt/*.tgz
  savelog -l -c 2 /mnt/*.log

  echo `date` Inizio il backup del sistema
  logger -t backup_usb Inizio il backup del sistema
  tar cvzf /mnt/sistema.tgz / --one-file-system --totals --exclude /home --exclude /var/vmail --exclude /ud0 > /mnt/sistema.log
  echo 
  echo `date` Inizio il backup di ud0
  logger -t backup_usb Inizio il backup di ud0
  tar cvzf /mnt/ud0.tgz /ud0 --one-file-system --totals > /mnt/ud0.log
  echo 
  echo `date` Inizio il backup delle home
  logger -t backup_usb Inizio il backup delle home
  tar cvzf /mnt/home.tgz /home --one-file-system --totals > /mnt/home.log
  echo 
  echo `date` Inizio il backup della mail
  logger -t backup_usb Inizio il backup della mail
  tar cvzf /mnt/mail.tgz /var/vmail --one-file-system --totals > /mnt/mail.log
  echo 

  echo `date` Smonto il disco
  logger -t backup_usb Smonto il disco
  sleep 1m
  umount $mountpoint
  cryptsetup close $unlocked_device_name
  logger -t backup_usb Disco smontato - fine backup
  echo `date` "backup_usb Disco smontato - fine backup"

else
  echo Backup fallito: non riesco ad accedere al disco removibile ;
  logger -t backup_usb Backup fallito: non riesco ad accedere al disco removibile ;
fi;

LinuxDebian/DmCrypt