SAMSUNG_102020 SAMSUNG_102020 SAMSUNG_102020 Advertisement

Praktická kryptológia (16. časť): XTS FDE

Bezpečnosť
0
V tejto časti seriálu vám ukážeme postup manuálnej aktivácie šifrovania diskových oblastí, resp. celých pevných diskov (Full Disk Encryption). Ako zvyčajne nebudeme zachádzať do detailov, ktoré by ďaleko presiahli rozsah tohto článku. Šifrovacím algoritmom bude Serpent, ale jeho prípadná zmena nijako neovplyvní výsledný produkt. Šifrovací mód bude XTS s príslušnými parametrami. V našom prípade nebudeme šifrovať úplne celý disk, to znamená, že nevyužijeme vlastnosti UEFI, ale budeme pracovať s dnes už zastaraným BIOS-om. Na inštaláciu použijeme distribúciu Xubuntu 16.04, konkrétne jej obraz xubuntu-16.04.4-desktop-amd64.iso. Inštalácia Inštaláciu OS s FDE môžeme v princípe vykonať dvoma základnými spôsobmi: 1. využijeme automatický režim inštalátora Ubiquity, pomocou ktorého dôjde k zašifrovaniu celého pevného disku s využitím štandardných parametrov nástroja Cryptsetup – LUKS, AES, XTS_plain64, 256-bitový kľúč, SHA1, PBKDF2 – v trvaní jednej sekundy (počet iterácií je závislý od CPU); bootovacia oblasť bude nezašifrovaná, typ ext2, veľkosť 250 MB; 2. jednotlivé kroky vykonáme manuálne, pričom získame dôkladnejšiu kontrolu nad inštalačným procesom, budeme môcť nainštalovať viacero OS súčasne (multiboot), resp. rozdeliť pevný disk presne podľa našich potrieb; okrem iného dokážeme veľmi detailne nastaviť parametre šifrovania, ktoré nám v prípade automatickej inštalácie nemusia postačovať. Na lepšie pochopenie procesov, ktoré sa dejú na pozadí automatickej inštalácie OS s FDE, sa zameriame na druhý zo spomínaných spôsobov. Obraz distribúcie Xubuntu stiahneme zo stránky ftp.uni-kl.de/pub/linux/ubuntu-dvd/xubuntu/releases/16.04/release. Pretože ide o tzv. live obraz (live session), OS nabootujeme v skúšobnom (try) režime. Príkazom [ -d /sys/firmware/efi ] && echo UEFI || echo BIOS zadaným v okne terminálu preveríme, či náš hardvér podporuje novší mód (modern) UEFI, alebo pôvodný (legacy) BIOS. Pri absencii UEFI musíme jadro (kernel) a úvodný RAM disk (initrd) ... Zobrazit Galériu
kryptologia

Mohlo by vás zaujímať

Mohlo by vás zaujímať