přejít na obsah přejít na navigaci

Linux E X P R E S, Jak znepřístupnit šifrovaný oddíl

Jak znepřístupnit šifrovaný oddíl

Šifrovaný flash disk

Patch pro cryptsetup umožňuje v nouzové situaci znemožnit dešifrování dat uložených do šifrovaného oddílu disku.


Technologie LUKS (Linux Unified Key Setup) umožňuje šifrovat data na diskových oddílech (pomocí backendu dm-crypt) dvouúrovňově – tedy hlavní klíč je uložen na oddílu a je zašifrován heslem, které uživatel zadává. Klíč lze zašifrovat více různými hesly, tedy různí uživatelé mohou dešifrovat data, aniž by znali hesla ostatních uživatelů (díky tomu lze přidávat a odebírat oprávněné uživatele).

Toto řešení má řadu výhod, ale také nevýhody. Tou hlavní je, že čím více je hesel, tím více je také možností jejich prolomení (ať už využitím slabin některého hesla nebo třeba získáním některého z hesel od uživatele násilím). Proto se v situacích, kdy je prioritou zabránit úniku dat do nepovolaných rukou a na jejich zachování nezáleží (protože jsou někde zálohována), hodí mít možnost jednoduše dešifrování zabránit.

Na webu linuxové distribuce Kali Linux (distribuce určená hlavně pro penetrační testy) se objevil článek, který upozorňuje na existenci patche pro nástroj cryptsetup. Tento patch zavádí možnost nastavit „likvidační heslo“, které v případě potřeby odstraní uložené zašifrované klíče a tak znemožní dešifrování. Toto heslo se zadá místo běžného hesla k dešifrování klíče.

Poznámka autora: Přestože lze jak tento patch, tak i distribuci Kali Linux snadno zneužít k různým nekalým účelům (a někdo by je mohl považovat za vysloveně zločinné), vyvíjí je primárně pro své zcela legální potřeby tým bezpečnostních specialistů a dalších odborníků, mezi něž patří například i Raphaël Hertzog, spoluautor administrátorské příručky k distribuci Debian.

Nahoru

Příspěvky

Petr Valach Jak znepřístupnit šifrovaný oddíl
Petr Valach 7. 01. 2014, 21:49:33
Odpovědět  Odkaz 
Tohle asi nebude zrovna legální řekněme ve Francii, co? :D Nebo se pletu? Jaká jsou zrovna tam regule ohledně šifrování?
Lukáš Jelínek Re: Jak znepřístupnit šifrovaný oddíl
Lukáš Jelínek 7. 01. 2014, 22:31:30
Odpovědět  Odkaz 
To netuším. Vím, že v Británii je zákon nařizující (pod trestem vězení) vydání šifrovacího klíče. Ale jestli tam odstranění klíčů je nebo není legální, to opravdu nevím. U nás je to ale zcela legální, i když hrozilo (podle původního návrhu nového trestního zákoníku), že to společně s širokou škálou podobných nástrojů a činností legální nebude.
Jak znepřístupnit šifrovaný oddíl
Karel Dlouhý 8. 01. 2014, 09:16:24
Odpovědět  Odkaz 
Mě to připadne naprosto k ničemu. Buď mám disk v držení a pak si jej můžu standardně smazat sám a nebo jej má v držení soudní znalec a ten bude pracovat s kopií disku.

Jen ještě dodám, že cryptsetup (dm-crypt) pokud pracuje s rozšířením LUKS, tak má na začátku oddílu/souboru hlavičku a je zjevné, že se jedná o zašifrovaná data. Pokud rozšíření LUKS nepoužiji, tato hlavička tam není a uložená data jsou na první pohled zdánlivě náhodná čísla -> teoreticky by se dalo popřít, že se jedná o zašifrovaná data.
Lukáš Jelínek Re: Jak znepřístupnit šifrovaný oddíl
Lukáš Jelínek 8. 01. 2014, 13:24:35
Odpovědět  Odkaz 
Myslím, že vůbec nejde o situaci, kdy je dost času na smazání disku nebo kdy je potřeba zabránit zjištění, zda tam byla nebo nebyla zašifrovaná data. Spíše to míří na situace, že má někdo třeba jen 10 vteřin na to, něco dělat.

Čistě hypoteticky: do open space vtrhne banda ozbrojenců a začnou sbírat flash disky, protože na některém z nich je něco velmi zajímavého. Někde na druhém konci sálu člověk strčí disk do USB a zadá likvidační heslo. Zločinci se následně disku zmocní, ale už jim to nebude nic platné, i kdyby unesli někoho, kdo některé z hesel zná, nebo kdyby našli papírek, kam si ho někdo napsal.
Re: Jak znepřístupnit šifrovaný oddíl
Vladimír Kozák 11. 01. 2014, 12:19:07
Odpovědět  Odkaz 
Luks umožňuje mít hlavičku oddělenou od dat, je možné ji uložit třeba na flash disk, a zřejmě se dá po otevření disku (rozšifrování dat) i odstranit, aniž by disk přestal fungovat (nemám ověřeno - mohl by mi to někdo potvrdit?).
Rozhodně si myslím, že funkce zmiňovaná v článku by měla být standardní součástí Luksu. Kdo ji nepotřebuje, ten ji prostě nebude používat.
Lukáš Jelínek Re: Re: Jak znepřístupnit šifrovaný oddíl
Lukáš Jelínek 11. 01. 2014, 13:21:20
Odpovědět  Odkaz 
Ano, ten flash disk lze pak odstranit, protože klíč už je načtený v paměti a do vypnutí/restartu systému tam zůstane.
Re: Re: Re: Jak znepřístupnit šifrovaný oddíl
Vladimír Kozák 11. 01. 2014, 22:20:34
Odpovědět  Odkaz 
Tak to je výborné, po další instalaci systému budu mít notebook zase o něco bezpečnější :-)

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog