TrueCrypt už neexistuje a účelem tohoto příspěvku je ukázat vám přímočaré šifrování oddílů pomocí dm-crypt luks.
DM-Crypt je transparentní šifrování jednotek, které je modulem jádra a součástí rámce mapovače zařízení pro mapování fyzického blokového zařízení na virtuální bloková zařízení vyšší úrovně, používá kryptografické rutiny z krypto API jádra. Stručně řečeno, šifrování mapování zařízení poskytované krypto api jádra "linux".
Ujistěte se, že máte alespoň jeden oddíl bez dat. Pokud nemáte žádné diskové oddíly k dispozici, použijte parted, gparted nebo jakýkoli jiný program, který chcete, zmenšit některé ze svých stávajících oddílů a vytvořit nový.
Použiji oddíl s názvem /dev/sda3 a naším prvním úkolem bude 3x přepsat tento oddíl náhodnými daty, což je dost na to, abychom vás ochránili před forenzním vyšetřováním. Trvalo mi téměř 30 minut, než byl oddíl o velikosti 20 GB třikrát přepsán.
shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sda3
Vytvořte zařízení mapující kryptografické zařízení v režimu šifrování LUKS:
cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda3
Budete dotázáni na následující otázku:
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter passphrase:
Verify passphrase:
Command successful
Odemkněte oddíl, zde "root" je název mapovače zařízení, berte to jako štítek.
cryptsetup open --type luks /dev/sda3 root
Musíme vytvořit souborový systém, abychom mohli zapisovat šifrovaná data, která by byla přístupná přes název mapovače zařízení (label).
mkfs.ext4 /dev/mapper/root
Připojte zařízení a přeneste všechna svá data:
mount -t ext4 /dev/mapper/root /mnt
Jakmile budete hotovi, odpojte a zavřete zařízení:
umount /mnt
cryptsetup zavřít kořen
V neposlední řadě vymažte vyrovnávací paměť pro kopírování a mezipaměť:
sysctl --write vm.drop_caches=3
To bylo vše, jednoduché a přímočaré šifrování. Od této chvíle vše, co musíte udělat, je:odemknout, připojit, přenést data, odpojit a zavřít zařízení.
Pokud máte pár hodin času na experimentování, přečtěte si tyto stránky:
odkaz 1, odkaz 2, odkaz 3, odkaz 4, odkaz 5, odkaz 6, odkaz 7
Chraňte svůj /boot oddíl, pokud chcete úplné šifrování disku. Vše je podrobně popsáno ve výše uvedených odkazech.
Příspěvek edit:Věci jsou ještě lepší, protože jsem se právě dozvěděl, že je možné vypalovat LUKS šifrované CD a DVD disky.
Místo použití oddílu disku vytvoříme soubor pomocí dd a generátor náhodných čísel jádra /dev/urandom která zaplní počáteční soubor falešnou entropií.
Vytvořte soubor o velikosti 500 MB, který bude použit jako systém souborů v rámci jednoho souboru.
dd if=/dev/urandom of=encrypted.volume bs=1MB count=500
Stačí nahradit první příkaz v tomto příspěvku (skartovat) s dd jeden a zadejte zbývající příkazy tak, jak jsou.
Nyní si můžete být jisti, že se nikdo nedostane přes vaše data, která jsou vypálena v rámci jediného souboru, což je celý souborový systém v šifrování LUKS, stačí se odpojit a zavřít encrypted.volume před vypálením na disk.