| View previous topic :: View next topic |
| Author |
Message |
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
 Posted: Tue Jul 06, 2004 12:03 am Post subject: [HOWTO] Partizione crittata kernel 2.6.x usando dm_crypt. |
 |
|
[HOWTO] Partizione crittata kernel 2.6.x usando dm_crypt.
requisiti:
| Quote: |
kernel-2.6.5
cryptsetup
|
Prima dobbiamo creare il portage overlay, Per colloro che non ce l'hanno i passi da fare sono i seguenti aprite /etc/make.conf con il vostro editor preferito e scomentate questa linea:
| Quote: |
root # vim /etc/make.conf
root # PORTDIR_OVERLAY=/usr/local/portage
|
poi create le directory come segue:
| Quote: |
root # mkdir /usr/local/portage
root # mkdir /usr/local/portage/app-crypt/
root # mkdir /usr/local/portage/app-crypt/cryptsetup/
|
nota: oviamente potete mettere le path che volete diciamo che questi path's sono quelli che si usano di solito.
Ora dobbiamo creare l'ebuild. L'ebuild e' gia pronto e funzionante qui. Fate un copy/paste e create il file cryptsetup-0.1.ebuild. Poi dovete eseguire il comando:
| Quote: |
root # ebuild cryptsetup-0.1.ebuild digest
|
Se tutto e' andato a buon fine procedete con la ricompilazione del kernel le seguenti opziono sono necessarie per usare dm_crypt:
| Quote: |
Code maturity level options --->
<*> Prompt for development and/or incomplete code/drivers
Device Drivers ---> Generic Driver Options --->
<M> Hotplug firmware loading support
Device Drivers ---> Multi-device support (RAID and LVM) --->
<M> Device mapper support
<M> Crypt target support
Cryptographic options --->
<M> AES cipher algorithms
<M> Serpent cipher algorithm
|
Potete sciegliere gli algoritmi che preferite. AES e' quello standard.
Ricordate di montare i moduli prima di proseguire. Potete metterli
su /etc/modules.autoload/kernel-$`uname -r` per facilita.
Ora siamo pronti per usare "dm_crypt". Vale la pena spendere 2 parole anche su modo in cui funziona. Quello che fa dm_crypt in sostanza e' creare un filo virtuale che collega il filesystem che vogliamo crittare ad un device virtuale che usaremo al posto del device vero e proprio. Tra il device virtuale e quello vero e proprio (per device intendo qualsiasi partizione anche quelle create con dd) ce la crittazione la quale viene gestita in modo trasparente da dm_crypt.
Ora che avete ricompilato il kernel potete proseguire con l'emerge di cryptsetup:
| Quote: |
root # ACCEPT_KEYWORDS="~x86" emerge cryptsetup
|
Ora dobbiamo creare il nostro filesystem. Io ho scelto di creare una chiave forte e metterla in un disketto anziche una password. Pero faremo 2 esempi.
Per creare un fs crittato con password eseguite:
| Quote: |
root # cryptsetup -y -c aes create secret /dev/hdaX
|
ove /dev/hdaX e' una partizione qulasiasi, come ho detto prima potrebbe essere anche un file creato con dd (man dd). La flag -c indica l'algoritmo di crittazione.. potrebbe essere qualsiasi basta che sia sopportato dal kernel.
La flag -y vi domandera un password ed anche la sua conferma. L'azione "create" e' abbastanza ovia direi..
secret e' il nome che abbiamo dato al device virtuale. Infatti Cryptsetup ha creato il device virtuale sulla directory /dev/mapper/secret. Ora dobbiamo creare il filesystem del device /dev/mapper/secret.
| Quote: |
root # mkfs.reiserfs /dev/mapper/secret
|
Se dovete gestire file grandi come avi etc, forse vi conviene usare xfs. Ora possiamo montare la partizione:
| Quote: |
root # mkdir /mnt/secret
root # mount /dev/mapper/secret /mnt/secret
|
Per creare invece una chiave a disketto che secondo me per quelli che devono mettere i loro mp3 [vedi urbani] sulla partizione crittata ha dei vantaggi quali:
[1] non devi montarla sempe a mano
[2] non ti devi ricordare password assurde a memoria e non devi mettere qualche parolina facile facile.
[3] la chiave potrebbe essere anche di 1.4 MB insomma dura da decifrare.. per le "autorita" locali e hmm.. per il resto del mondo(?).
Potete sempre prendere un backup magari su un cd che lo mischiate insieme ad altri dati etc etc, non so fate voi. Avere una partizione crittata e non essere paranoici secondo me e' un contro senso.
Prima cosa da fare e' prendere un dischetto e assicurarsi che funziona!!
poi formattate il disketto e montatelo:
| Quote: |
root # mkfs.ext2 /dev/fd0
root # mount /dev/fd0 /mnt/floppy
|
Ora creiamo la partizione con la chiave sul disketto:
| Quote: |
dd if=/dev/urandom of=/mnt/floppy/key bs=12k count=100
|
questo comando creera una chiave di tipo "data" usando /dev/urandom di circa 1.2 MB. Per mostrarvi
quanto essere paranoici a volte non basta, ricordo un programma visto circa 6 mesi fa.. era una
backdoor specifica per controlare /dev/urandom. Ora mi e' venuta un idea sul come potrebbe tornare
utile(!).
Proseguiamo con la creazione del device virtuale:
| Quote: |
root # cp key /mnt/floppy/
root # cryptsetup -c aes -d /mnt/floppy/key create secret /dev/hdaX
|
la flag -d come avrete capito gia, dice a cryptsetup il full path per la chiave, che questa volta sara un file. Il resto e' gia stato spiegato in precedenza.
Ora possiamo montare la partizione e spostare/creare tutto quello che ci serve su questa partizione.
ATTENZIONE: E' molto importante smontare la partizione nell modo giusto perche se non lo facciamo qualsiasi utente (come root oviamente) potra montarle e vederle in chiaro.
per rimuovere le partizioni:
| Quote: |
root # umount /mnt/secret -v
root # cryptsetup remove secret
root # dmsetup ls
|
con il comando "dmsetup ls" possiamo vedere la lista delle device virtuali. Ad ogni caso dovreste aver un messagio di errore se non si dovrebbero smontare in modo normale le partizioni.
due script molto semplici per montare/smontare in auto:
| Code: |
1) Password
crypt-up
#!/bin/bash
/usr/sbin/cryptsetup -c aes create secret /dev/hdaX -v
mount /dev/mapper/secret /mnt/secret -v
crypt-down
#!/bin/bash
umount /mnt/secret -v
/usr/sbin/cryptsetup remove secret -v
2) Chiave su disketto
crypt-up
#!/bin/bash
mount -t ext2 /dev/fd0 /mnt/floppy -v
/usr/sbin/cryptsetup -c aes -d /mnt/floppy/key create secret /dev/hdaX -v
mount /dev/mapper/secret /mnt/secret -v
umount /dev/fd0 -v
crypt-down
#!/bin/bash
umount /mnt/secret -v
/usr/sbin/cryptsetup remove secret -v
|
Potete creare anche una swap crittata (non soridete ormai ci siete dentro fino al collo!). Sciegliete la partizione per usare come swap, e agiungete su /etc/conf.d/local.start
| Quote: |
/usr/sbin/cryptsetup -c serpent -d /dev/urandom create enc-swap /dev/hdX
mkswap /dev/mapper/enc-swap
swapon /dev/mapper/enc-swap
|
lo scriptino sopra creera una partizione swap crittata ad ogni riavvio, Per qualche computer potrebbe essere dispendioso non saprei.. per il non lo e' afatto.
note finali
Potete agiungere i due scripts come ho fatto io su local.start e local.stop cosiche vanno su e giu leggendo il disketto al boot del computer. Se togliete il disketto semplicemente non vengono montate le partizioni. Sarebbe meglio fare un script che gestisce un po meglio la situazione, perche questi che ho fatto io sono molto semplici. Io ho creato uno in python ma servirebbe uno in bash. Quando avro un po di tempo.. imparare anche la bash  .. chi sa che qualche esperto di sh scripting non ha voglia creare un qualcosa,
ps. Io uso una piccola partizione ma solo per salvaguardarmi da un possibile attack hacker al interno della rete di fastweb. Infatti ho messo li le mie relazione per l'universita. Se no a cosa serve la crittografia no? 
ciao 
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
 |
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Tue Jul 06, 2004 12:08 am Post subject: Re: [HOWTO] Partizione crittata kernel 2.6.x usando dm_crypt |
|
|
| Quote: |
Per creare invece una chiave a disketto che secondo me per quelli che devono mettere i loro mp3 [vedi urbani] sulla partizione crittata ha dei vantaggi quali:
[1] non devi montarla sempe a mano
[2] non ti devi ricordare password assurde a memoria e non devi mettere qualche parolina facile facile.
[3] la chiave potrebbe essere anche di 1.4 MB insomma dura da decifrare.. per le "autorita" locali e hmm.. per il resto del mondo(?).
|
Vogliamo essere pignoli?
Immagina la scena, ti sequestrano tutti i macchinari che hai a casa e poi dopo un po' se ne saltano fuori e ti chiedono "qual'e' la password di questa roba criptata?"
Gli rispondi "non te la dico?"
Ad ogni modo, provero' presto questo sistema criptando un file creato con dd e magari salvando la chiave sulla chiavetta usb che probabilmente è + affidabile per integrita' e velocita' di un floppy
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Jul 06, 2004 12:19 am Post subject: Re: [HOWTO] Partizione crittata kernel 2.6.x usando dm_crypt |
|
|
| federico wrote: | | Quote: |
Per creare invece una chiave a disketto che secondo me per quelli che devono mettere i loro mp3 [vedi urbani] sulla partizione crittata ha dei vantaggi quali:
[1] non devi montarla sempe a mano
[2] non ti devi ricordare password assurde a memoria e non devi mettere qualche parolina facile facile.
[3] la chiave potrebbe essere anche di 1.4 MB insomma dura da decifrare.. per le "autorita" locali e hmm.. per il resto del mondo(?).
|
Vogliamo essere pignoli?
Immagina la scena, ti sequestrano tutti i macchinari che hai a casa e poi dopo un po' se ne saltano fuori e ti chiedono "qual'e' la password di questa roba criptata?"
Gli rispondi "non te la dico?"
|
esatto.
EDIT: okay mi scuso con federico.. perche mi son comportato da vero idiota scrivendo solo "esatto" e sappendo che la sua risp era ovvia.. pero ero incazzat nero con un altra cosa.. e mi son sfogato in modo rozzo 
Dai un occhiata a quel che si chiama "quinto emendamento".
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
koma
Advocate
Joined: 06 Jun 2003
Posts: 2702
Location: Italy
|
| Posted: Tue Jul 06, 2004 12:49 am Post subject: |
|
|
mhhhh ... usbpen da poco (32 mb le compri anche dai marocchini ormai) la tieni sotto la scrivania... quando arriva la madama fai un gesto del tipo lanci la penna per terra e ci metti una gamba della sedia sopra... CRACK SCRUNCH oooooooooooooOOOOOOOOOOOOOOOOOOOPS 
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Jul 06, 2004 12:55 am Post subject: debolezze |
|
|
La debolezza del sistema sopra descritto non e' il medium che usarei, Che sia un cd-rom un dischetto o qualsiasi cosa.. e' facile farlo sparire in 5 secondi.
Quello in cui stavo pensado.. e ci dovrei lavorare (se avessi un po di tempo in piu  ) e' nascondere in modo in qui viene eseguito il mount. Nel momento che il nostro sistema cade nelle mani di un qualsiasi "analista" lui entra con un liveCD oviamente e vede cosa e come viene eseguito e li scatta il "disketto". Se invece noi facessimo il modo che sia impossibile trovare.. il modo nel quale viene montato il filesystem? Praticamente nascondere da qulache parte i comandi etc. Ho pensato ad una soluzione con gpg.. che critta in modo automatico usando sta volta un pass phrase solamente i script che vengono eseguiti se il disketto oppure il medium che avete scelto non viene usato..
che ne dite? altri modi per rendere invisibile la cosa?
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Tue Jul 06, 2004 5:54 am Post subject: |
|
|
la sicurezza non si fa nascondendo il metodo (algoritmo, programmi impiegati, ...)!
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Tue Jul 06, 2004 7:33 am Post subject: Re: [HOWTO] Partizione crittata kernel 2.6.x usando dm_crypt |
|
|
| bld wrote: | | Dai un occhiata a quel che si chiama "quinto emendamento". |
Mi sembra che hai sbagliato nazione
Comuqnue se da un lato é vero che puoi rifiutarti di dare la password dall'altro é vero che forse é bene pagare la multa per qualche mp3 piuttosto che rischiare un incriminazione per "sospetto terrorismo" e una verifica delle denunce dei redditi fino alla 5 generazione.
_________________
Ciao da me! |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Jul 06, 2004 7:58 am Post subject: |
|
|
'nsomma, se ti prendono, ti giuriamo che veniamo a portarti le arance 
e magari ci scappa anche qualche bella manifestazioncina con i cartelli tipo "Free Bobby" ...solo che scriveremmo "Free Bld" e mi sa che non avrebbe successo... come fai a scandire ad alta voce "Free B - L - D !!! "...dai, ci scambiarebbero per una congregazione di ragazze ponpon (datemi una B! Datemi una Elle ! Datemi una D! B L D ! ).. 
Ok, sto degenerando
Coda |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Tue Jul 06, 2004 8:45 am Post subject: |
|
|
anche perche' in caso di sospetto di qc di poco legale nei tuoi confronti fa cmq scattare il sequestro di tutto il tuo materiale informatico.
Se collabori magari lo rivedi prima che diventi un pezzo da museo.
altrimenti te lo rendono quando esce gentoo 2010.
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
assente
Guru
Joined: 12 Apr 2004
Posts: 570
Location: Torino, italia, New Europe
|
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Tue Jul 06, 2004 11:37 am Post subject: |
|
|
Ho fatto quella domanda in quanto alcuni amici si sono trovati di fronte a questo problema in maniera pratica, per quanto mi riguarda e' poco saggio negarsi...
Che roba e' sto quinto emendamento ?
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Jul 06, 2004 3:03 pm Post subject: heh |
|
|
Okay siccome vedo che non ci siamo...
Prima ancora di proseguire con questo articolo ho parlato con 3 avocati futuri - si laureano nel futuro prossimo.
Infatti come qualcuno ha detto ho sbagliato "nazione" perche il "quinto emendamento" esiste negli stati uniti. Ma in italia la legge a proposito e' molto simile. Creo uno scenario del tutto imaginario per rendere l'idea piu chiara.
La polizia viene a casa tua perche il provider ha "dato" a loro logs e loro sono sicuro che tu stai condividendo e scaricando materiale illegale.. cioe mp3. A questo punto loro fanno "l'intrusione" e sequestrano il computer. Pero ancora non hanno provato niente. Loro hanno solo i logs del provider.. mentre tu sei "non colpevolo" finche loro non possono provare il contrario. A questo putno aiutarli o no e' un DIRITTO tutto TUO. Tu hai il diritto di non dichiarare niente "contro di te". Infatti le uniche cose che tu devi dichiarare fuori dal tribunale sono: stato cogniugale.. lavoro.. nome e cognome.
Per il resto la famosa frase "voglio il mio avocato" la conosciamo tutti. A questo punto non possono fare niente piu dal punto di vista "legale". Tu puoi benissimo dichiarare che hai dimenticato la chiave o che l'hai persa che non esiste nessuna chiave.. e tutto il resto. Negli stati uniti dovresti usare un algoritmo di cifratura molto basso e non AES per essere legale. Se no sei considerato "terrorista" hehe . In europa non ce questa legge... per il momento.
Qualcuno ha nominato la parola "terrorismo". Chi fa "hacking" e' terrorista e non chi usa la crittografia. Con l'ultimo trattato di Schegen gli stati membri dell unione europea hanno creato una legge simile a quella americana che in inglese si chiama piu o meno "act against terrorism". Praticamente li vale il principio opposto,, siamo tutti colpevoli a morte fino a provare il contrario. Vi assicuro che se leggete il trattato per bene ve ne accorgerete il "1984" di orwell e' proprio quell trattato. Possono farti quello che vogliono solo con il sospetto e non puoi reagire in alcun modo.. mentre se sbagliano non devono rispondere a nessuno.
Beh affidarti ad un dischetto hm... Io mi fido molto piu di un dischetto che posso prendere togliere strappare buttare che non di un essere umano o di una password "debole". Quel dischetto rapresenta una chiave. Poi imho fare un backup e' d'obbligo e secondo me e' molto semplice nasconderlo.. da qualche parte sicura.
Ultima cosa.. chi si occupa anche in modo amatoriale con la sicurezza.. un topic molto molto affascinante senz'altro.. conosce gia che la sicurezza in senso assoluto non esiste. Io ho cercato di ragiungere un limite minimo considerando che se mai avessi problemi non li avrei con la CIA o la NSA o la MIA cioe' non scherziamo con loro non ci sono ca**i e mica passi dal tribunale qeste agenzie funzionano in modo del TUTTO illegale!
Ma passando ad un ente locale che funziona entro i limiti posti dalla legge credo che la crittografia potrebbe essere utile.
Puo essere anche che mi sbaglio mi interesserebbere sapere altri aspetti.
Un altra cosa. Se non vieni dichiarato colpevole e' ovvio che non possono tenersi il computer a vita ne possono farti pagare multe salate.. E le conosciamo le multe "per qualche mp3". Io non me le posso permettere.
per comio.. la sua frase mi ha dato molto da pensare, Non ti piace la "security through obscurity" alla sua implementazione oppure a livello di principio?
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Tue Jul 06, 2004 3:09 pm Post subject: Re: heh |
|
|
| bld wrote: | | A questo punto non possono fare niente piu dal punto di vista "legale". Tu puoi benissimo dichiarare che hai dimenticato la chiave o che l'hai persa che non esiste nessuna chiave. |
Si, in questo hai ragione, tuttavia le vie legali anche se non sono infinite possono essere molto fastidiose.
_________________
Ciao da me! |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Jul 06, 2004 3:11 pm Post subject: |
|
|
zi li ho gia visti questi howto ci sono programmi che ti permettono di ricuperare dati pero non farlo da una partizione crittata e' estramente difficile direi.
Non vedo quale sia la diff tra questi metodi e quelo sopra cittati magari potresti dirmelo tu perche da solo non ci arrivo.
Grazie
ciao
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Jul 06, 2004 3:16 pm Post subject: Re: heh |
|
|
| randomaze wrote: | | bld wrote: | | A questo punto non possono fare niente piu dal punto di vista "legale". Tu puoi benissimo dichiarare che hai dimenticato la chiave o che l'hai persa che non esiste nessuna chiave. |
Si, in questo hai ragione, tuttavia le vie legali anche se non sono infinite possono essere molto fastidiose. |
beh si.. ma questo non e' una logica. Sotto questo punto di vista allora se ti arrestano per omicidio fai prima a dichiararti colpevole.. "perche ci sono.. molte vie legali" ?
Anzi la diversita' del nostro diritto da quello anglossassone e' la sua rigidita di limiti entro i quali si possa prendere una decisione. Cioe' una situazione X non puo essere interpretata in tantissimi modi. Infatti non e' il caso che da 3 persone diverse il cosa sopra cittato e' stato interpretato nello stesso modo. Cmq quando daro diritto commerciale (e' l'ultimo esame di diritto che dovro fare) faro una discussione anche con il prof per vedere se ci sono altri punti di vista..
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Tue Jul 06, 2004 3:34 pm Post subject: Re: heh |
|
|
| bld wrote: | | Sotto questo punto di vista allora se ti arrestano per omicidio fai prima a dichiararti colpevole.. "perche ci sono.. molte vie legali" ? |
Mi sembra che stai estremizzando...
E' un discorso di costi/benefici, faccio un esempio se quelli si vogliono tenere il mio PC per tre anni io posso:
1. lasciargielo e riprendere a lavorare tra tre anni
2. pagare un avvocato e riaverlo dopo 6 mesi al costo di due anni di lavoro
3. comprare un nuovo PC e riscrivere tutto al costo di 1 anno di lavoro
4. pagare la multa per 2 bestialità e riprendere a lavorare dopo 2 settimane, al costo totale di 6 mesi di lavoro.
ovvio che le il costo delle due bestialità può spostare la voce "costo totale" verso l'altro ed essere quindi più conveniente lasciargli il PC
_________________
Ciao da me! |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Jul 06, 2004 4:39 pm Post subject: Re: heh |
|
|
| randomaze wrote: | [...]
4. pagare la multa per 2 bestialità e riprendere a lavorare dopo 2 settimane, al costo totale di 6 mesi di lavoro. |
5. backuppare l'intero pc giornalmente, e ripendere a lavorare dopo due orette di dump su un'altro pc.... poi, quando dopo sei mesi ti torna indietro il tuo, il secondo lo puoi sempre rivendere
Coda |
|
| Back to top |
|
|
micron
Guru
Joined: 23 Jul 2003
Posts: 411
Location: Bergamo, Italy
|
| Posted: Tue Jul 06, 2004 4:54 pm Post subject: |
|
|
A parte i discorsi legati all'uso della crittografia (in cui non volgio immischiarmi) ci sono un paio di suggerimenti che ti potrei dare.
Per prima cosa dopo aver creato il device virtuale cifrato (usando dm-crypt), prima di formattarlo con un file system ti consiglio di riempirlo di dati casuali:
| Code: | | # openssl rand -out /dev/mapper/[name] [size] |
oppure tramite
| Code: | | # dd if=/dev/urandom of=/dev/mapper/[name] |
In questo modo sarà impossibile distinguere lo spazio libero da quello usato, rendendo ancora più difficili eventuali attacchi analitici sulla partizione cifrata.
In secondo luogo dm-crypt offre una funzionalità non da poco (che per esempio manca a crypto-loop):
| Code: | | -h, --hash=STRING The hash used to create the encryption key from the passphrase (default: "ripemd160") |
Questo rende il tuo container ancora più resistente ad attacchi di forza bruta, rallentandoli.
Un ultimo consiglio, perchè non crei una partizione cifrata anche sul dispositivo che conterrà la chiave (che sia un floppy o una usb-pen)? Questa volta direi di usare una password mnemonica
Personalmente sto scrivendo su un sistema con tutte le partizioni cifrate tramite dm-crypt (ad eccezionde della swap che è in chiaro).
Il sistema esegue una procedura di boot che richiede la presenza di una chiave usb sulla quale sono contenute le password (56 caratteri base64 random) che servono a sbloccare le varie partizioni.
A breve (lo spero  ) dovrei mettere on-line la presentazione di un mio seminario sull'argomento, quando avverrà ve lo farò sapere.
PS: al momento sono altamente devastato e mi scuso di eventuali errori grammaticali, rileggere sarebbe uno sforzo in questo momento
_________________
~ "Progress is merely a realisation of utopias" ~ |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Jul 06, 2004 4:56 pm Post subject: Re: heh |
|
|
| randomaze wrote: | | bld wrote: | | Sotto questo punto di vista allora se ti arrestano per omicidio fai prima a dichiararti colpevole.. "perche ci sono.. molte vie legali" ? |
Mi sembra che stai estremizzando...
E' un discorso di costi/benefici, faccio un esempio se quelli si vogliono tenere il mio PC per tre anni io posso:
1. lasciargielo e riprendere a lavorare tra tre anni
2. pagare un avvocato e riaverlo dopo 6 mesi al costo di due anni di lavoro
3. comprare un nuovo PC e riscrivere tutto al costo di 1 anno di lavoro
4. pagare la multa per 2 bestialità e riprendere a lavorare dopo 2 settimane, al costo totale di 6 mesi di lavoro.
ovvio che le il costo delle due bestialità può spostare la voce "costo totale" verso l'altro ed essere quindi più conveniente lasciargli il PC |
cmq questo e' un aspetto che non avevo tenuto in conto . Forse hai ragione in qualche situazione conviene dire "mea culpa" e farla finita li..
Non so in quali circosatanze pero
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Jul 06, 2004 5:07 pm Post subject: kom |
|
|
| micron wrote: | A parte i discorsi legati all'uso della crittografia (in cui non volgio immischiarmi) ci sono un paio di suggerimenti che ti potrei dare.
Per prima cosa dopo aver creato il device virtuale cifrato (usando dm-crypt), prima di formattarlo con un file system ti consiglio di riempirlo di dati casuali:
| Code: | | # openssl rand -out /dev/mapper/[name] [size] |
oppure tramite
| Code: | | # dd if=/dev/urandom of=/dev/mapper/[name] |
In questo modo sarà impossibile distinguere lo spazio libero da quello usato, rendendo ancora più difficili eventuali attacchi analitici sulla partizione cifrata.
In secondo luogo dm-crypt offre una funzionalità non da poco (che per esempio manca a crypto-loop):
| Code: | | -h, --hash=STRING The hash used to create the encryption key from the passphrase (default: "ripemd160") |
Questo rende il tuo container ancora più resistente ad attacchi di forza bruta, rallentandoli.
Un ultimo consiglio, perchè non crei una partizione cifrata anche sul dispositivo che conterrà la chiave (che sia un floppy o una usb-pen)? Questa volta direi di usare una password mnemonica
Personalmente sto scrivendo su un sistema con tutte le partizioni cifrate tramite dm-crypt (ad eccezionde della swap che è in chiaro).
Il sistema esegue una procedura di boot che richiede la presenza di una chiave usb sulla quale sono contenute le password (56 caratteri base64 random) che servono a sbloccare le varie partizioni.
A breve (lo spero ) dovrei mettere on-line la presentazione di un mio seminario sull'argomento, quando avverrà ve lo farò sapere.
PS: al momento sono altamente devastato e mi scuso di eventuali errori grammaticali, rileggere sarebbe uno sforzo in questo momento |
Grazie per lo spunto. Intanto devo dire che non assolutamente esperto sulla crittografia.. sono le mie prime esperienze. Infatti avevo notatto il hash ma non mi e' chiaro il modo nel quale funziona e non ho voluto usare e per giunta suggerire ad altra gente.. qualcosa che non capisco come funziona. Pero appena ho tempo daro un occhiata. Quando metti on line la presentazione se puoi mandarmi un pm te ne sarei grado.
Un altro argomento interessante e' la tipologia di algoritmo e la modalita che esso deve usare per crittare un certo tipo di dati come per esempio mp3 divx o .c files. Non ho trovato tantissimo a riguardo.
EDIT: Un altra cosa.. sperando che non sia una mia svista enorme. Io pensavo che cryptsetup facesse proprio questa "cosa". Cioe riempire il container con dati random.
infatti vedo che:
| Quote: |
root # xxd /dev/mapper/enc-c |less
00259b0: 966c 7405 b258 f556 3160 d00e c5fc ad5b .lt..X.V1`.....[
00259c0: d485 dcba 9d48 7455 61fe bb6e fffb 9260 .....HtUa..n...`
00259d0: d380 036c 4555 51f8 6ae8 45e5 cae9 31a7 ...lEUQ.j.E...1.
00259e0: 5b8e 88db 534c 61ab 612f 952a a8f5 a96c [...SLa.a/.*...l
00259f0: 2b10 76c6 b181 b056 da1f c229 d8fe 4d66 +.v....V...)..Mf
0025a00: d623 77b0 654f e1b4 b066 19e2 bb42 59ad .#w.eO...f...BY.
0025a10: 9b51 cb3a adbf 82a0 dfc6 b7bd 429f 59b5 .Q.:........B.Y.
0025a20: 2fbe f358 f5b4 9a6c 9719 b42a e737 cc18 /..X...l...*.7..
0025a30: 9021 e268 f0ed 5bcd 9c7d de36 734d 5e2d .!.h..[..}.6sM^-
0025a40: 60df 15df deb5 b8ba f4ce 66af dd3d e267 `.........f..=.g
|
e' tutto crittato ecceto la prima parte..[/quote]
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
FonderiaDigitale
Veteran
Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy
|
| Posted: Tue Jul 06, 2004 10:36 pm Post subject: |
|
|
| micron wrote: |
Personalmente sto scrivendo su un sistema con tutte le partizioni cifrate tramite dm-crypt (ad eccezionde della swap che è in chiaro). |
Questo potrebbe vanificare il resto dei tuoi sforzi. Ok, per il rallentamento se cripti anch'essa, ma esporre la swap potrebbe essere molto rischioso, specie se la chiave e' passata su di essa,e di recente.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica
|
|
| Back to top |
|
|
micron
Guru
Joined: 23 Jul 2003
Posts: 411
Location: Bergamo, Italy
|
| Posted: Wed Jul 07, 2004 7:57 am Post subject: |
|
|
| FonderiaDigitale wrote: | | Questo potrebbe vanificare il resto dei tuoi sforzi. Ok, per il rallentamento se cripti anch'essa, ma esporre la swap potrebbe essere molto rischioso, specie se la chiave e' passata su di essa,e di recente. |
Hai ragione, me ne rendo perfettamente conto. Quando avrò un pelo di tempo proverò a cifrare anch'essa (magari con una chiave dalle dimensioni più contenute). Inoltre, pensadoci bene, la swap non la uso quasi mai (640 Mb di ram), quindi non dovrei cmq notare dei rallentamenti.
_________________
~ "Progress is merely a realisation of utopias" ~ |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Wed Jul 07, 2004 10:56 am Post subject: Re: [HOWTO] Partizione crittata kernel 2.6.x usando dm_crypt |
|
|
| federico wrote: |
Vogliamo essere pignoli?
Immagina la scena, ti sequestrano tutti i macchinari che hai a casa e poi dopo un po' se ne saltano fuori e ti chiedono "qual'e' la password di questa roba criptata?"
Gli rispondi "non te la dico?" |
Conosco/so di gente che ha fatto proprio cosi ha detto quella frase o roba del tipo "stavo sperimentando proprio sto nuovo sistema quand oho combinato il casino: non riesco piu' a decrittare" ovvimanete sono scuse ridicole
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Wed Jul 07, 2004 11:38 am Post subject: |
|
|
Per quanto mi riguarda la criptazione e' una buona cosa nel caso il computer venisse maneggiato da terzi a tua insaputa, mentre la soluzione ottimale nel caso il tuo computer venisse sequestrato o qualcosa di simile sarebbe che sul disco non ci fosse nulla
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
FonderiaDigitale
Veteran
Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy
|
| Posted: Wed Jul 07, 2004 11:44 am Post subject: |
|
|
| micron wrote: | | Inoltre, pensadoci bene, la swap non la uso quasi mai (640 Mb di ram), quindi non dovrei cmq notare dei rallentamenti. |
allora forse ti conviene tagliare la testa al toro e evitare di usarla in toto..no?
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica
|
|
| Back to top |
|
|
|
Forum italiano (Italian) 
