Benvenuto LUKS (cryptsetup)

Per anni ho usato TrueCrypt ed ho continuato ad utilizzarlo anche dopo il clamoroso annuncio apparso in cima alla pagina di download “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues”. Solo di recente ho deciso di migrare i dati custoditi nel contenitore TrueCrypt su un supporto predisposto con cifratura LUKS, soluzione che si presta a molteplici possibilità di utilizzo in base alle esigenze.

Per cifrare i device portatili ho usato Cryptsetup, già presente nella distro Backbox. Dopo aver individuato la partizione da cifrare (fate attenzione a non commettere errori) si procede con la formattazione del supporto.

# cryptsetup luksFormat /dev/sdg1

Alla domanda “Are you sure? (Type uppercase yes):” rispondere con YES e quando richiesta digitare la passphrase .

Se al posto della passphrase si opta per un keyfile la sintassi diventa la seguente:

# cryptsetup luksFormat /dev/sdg1 keyfile

Montiamo la partizione cifrata e assegnamo un’etichetta per individuare la partizione quando verrà mappata. Es. “LUKS001”.

# cryptsetup luksOpen /dev/sdg1 LUKS001

Vi verrà chiesto di digitare la passphrase.

Ora ci tocca formattare la partizione appena montata. Per esigenze lavorative (leggasi compatibilità con sistemi Windows) ho scelto FAT32.

# mkfs.vfat /dev/mapper/LUKS001 -n LUKS001

Per ext4 e ntfs la sintassi è la seguente:

# mkfs.ext4 /dev/mapper/LUKS001 -L LUKS001
# mkfs.ntfs /dev/mapper/LUKS001 -L LUKS001

Fatto ciò abbiamo concluso, chiudiamo la nostra partizione (LUKS001) e stacchiamo il device dalla porta USB.

# cryptsetup luksClose LUKS001

Quando lo ricollegheremo, il sistema chiederà di digitare la passphrase per montare il supporto. Comodo.

luks

A proposito di comodità, una feature davvero interessante è la possibilità di utilizzare la tecnica di Key escrow per generare una seconda chiave (sono disponibili 8 slot) con gli stessi privilegi della prima.

# cryptsetup luksAddKey /dev/sdg1

Vi verrà chiesto di digitare la prima passphrase e immediatamente dopo di configurarne una seconda.