Kali Linux Full Disk Encryption
Jako penetrační testeři často potřebujeme cestovat s citlivými daty uloženými na našich noteboocích. Samozřejmě, všude, kde je to možné, používáme úplné šifrování disku, včetně našich počítačů Kali Linux, které obvykle obsahují ty nejcitlivější materiály.
Nastavení úplného šifrování disku pomocí Kali je jednoduchý proces. Instalační program Kali obsahuje přímý proces pro nastavení šifrovaných oddílů pomocí LVM a LUKS. Po zašifrování vyžaduje operační systém Kali heslo při spouštění, aby OS mohl spustit a dešifrovat váš disk, čímž ochrání tato data v případě odcizení vašeho notebooku. Správa dešifrovacích klíčů a oddílů se provádí pomocí nástroje cryptsetup.
Nuking naší Kali Linux FDE instalace
Před pár dny jednoho z nás napadlo přidat do naší instalace Kali možnost „nuke“. Jinými slovy, mít spouštěcí heslo, které by data na našem disku spíše zničilo než dešifrovalo. Po několika hledáních na Googlu jsme později našli starou opravu pro šifrování od Juergena Pabela, která to dělá a přidává do šifrování „nuke“ heslo, které při použití odstraní všechny sloty pro klíče a znepřístupní data na disku. Portovali jsme tento patch pro nedávnou verzi cryptsetup a zveřejnili jsme ho na Github.
Testování LUKS Nuke Patch
Tato funkce ještě není implementována v Kali, protože jsme chtěli získat zpětnou vazbu od uživatelů před použitím této opravy na základní obrázky. Pokud si to chcete sami vyzkoušet, toto jsou pokyny k sestavení. Začněte spuštěním šifrované instalace LVM v Kali a nastavte heslo pro dešifrování. Po dokončení si stáhněte zdroj balíčku cryptsetup a aplikujte na něj náš patch. Pokračujte ve vytváření opraveného balíčku následovně:
[email protected]:~# apt-get source cryptsetup
[email protected]:~# git clone https://gitlab.com/kalilinux/packages/cryptsetup-nuke-keys
[email protected]:~# cd cryptsetup-1.6.1/
[email protected]:~/cryptsetup-1.6.1# patch -p1 < ../cryptsetup-nuke-keys/cryptsetup_1.6.1+nuke_keys.diff
patching file lib/libcryptsetup.h
patching file lib/luks1/keymanage.c
patching file lib/setup.c
patching file src/cryptsetup.c
[email protected]:~/cryptsetup-1.6.1# dpkg-buildpackage -b -uc
Po sestavení balíčku nainstalujte balíčky cryptsetup, abyste získali náš nuke implementovaná možnost:
[email protected]:~/cryptsetup-1.6.1# ls -l ../*crypt*.deb
-rw-r--r-- 1 root root 149430 Jan 4 21:34 ../cryptsetup_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 250616 Jan 4 21:34 ../cryptsetup-bin_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 105226 Jan 4 21:34 ../libcryptsetup4_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 49580 Jan 4 21:34 ../libcryptsetup-dev_1.6.1-1kali0_amd64.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../libcryptsetup*.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../cryptsetup*.deb
Nyní, když je náš opravený cryptsetup balíček nainstalován, můžeme pokračovat a přidat do našeho nastavení „nuke“ klíč:
[email protected]:~# cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: (existing passphrase)
Enter new passphrase for key slot: (nuke passphrase)
Ahoj vole, kde je můj disk?
Při každém dalším restartu budete jako obvykle požádáni o heslo pro dešifrování LUKS. Pokud byste z jakéhokoli důvodu zadali heslo nuke, uložené klíče by byly vyčištěny a data by byla nepřístupná. Měli bychom implementovat tuto opravu do balíčku cryptsetup? Dejte nám vědět, co si myslíte, prostřednictvím této rychlé ankety. Toto hlasování necháme několik týdnů otevřené a budeme vás informovat o dalším vývoji této funkce.
Cryptseup Nuke Option in Kali
Add nuke features to cryptsetup ?*
- [ ] Yes, add this feature!
- [ ] Stop bothering me
- [ ] No, leave cryptsetup alone.
Aktualizace: Nuke patch byl zaveden do Kali Linuxu a je standardně dostupný v Kali Linuxu v1.0.6.
Aktualizace: Příklad použití funkce Nuke jsme zveřejnili v pozdějším blogovém příspěvku „Jak vybuchovat šifrovanou instalaci Kali Linuxu“.
Aktualizace: Od července 2019 Kali Linux již tuto opravu kryptoměny nedodává, místo toho jsme představili balíček cryptsetup-nuke-password, který poskytuje podobnou funkci bez úpravy cryptsetup.
[email protected]:~# apt install cryptsetup-nuke-password
[email protected]:~# dpkg-reconfigure cryptsetup-nuke-password