How To: Kriptiranje tvrdog diska

Ovaj tutorial ce vam objasniti kako kriptirati tvrdi disk i sacuvati vase podatke od napada.
UPOZORENJE!

Morate imat kernel verzije 2.6.16 ili vece da bi ste mogli uciniti kriptiranje.
Da biste provjerili verziju kernela upisite u konzolu:

uname -r

Ovaj proces ce vam obrisati sve podatke sa tvrdog diska koji mislite kriptirati.
Preporucam backup!!!!!!

Necemo puno pricati o teoriji pa odmah prelazimo na kriptiranje tvrdog diska.
Koristit cu root pristup u cijelom procesu kriptiranja. Da bi ste postali root morate upisati sljedece u konzolu:
1: za sudo korisnike: sudo -i     - zatraziti ce vas lozinku i poslje upisivanja biti cete root
2: za su korisnike: su    - zatraziti ce vas lozinku i poslje upisivanja biti cete root

Da biste uopce krenuli sa kriptiranjem trebati ce vam program cryptsetup.
Vjerojatno se nalazi u vasem repozitorju pa ga mozete skinuti pomocu ove komande:

apt-get install cryptsetup     - za apt-get based sustave (Ubuntu...)
pacman -S cryptsetup           - za pacman based sustave (Arch....)

1: Pripremanje tvrdog diska za kriptiranje.

Sada cemo dodati nasumicne podatke na tvrdi disk tako da ce biti nemoguce saznati koliko tocno podataka imate na tvrdom disku.
Proces ce uzeti dosta vremena tako da mozete pogledati koji film ili slicno. Zavisi i od velicine tvrdog diska.

dd if=/dev/urandom of=/dev/ime_vaseg_tvrdog_diska

(morate upisati tocno ime jeli moze doci do gadnih stvari ako krivo upisete)

Ime tvrdog diska vam je nesto ovakvo: hda, hdb, sdb, sdb, hdc...
To mozete provjeriti uz mnogo programa. Evo opisa za program QTParted(apt-get install qtparted).
Kad otvorite program s lijeve strane pisati ce vam vasi tvrdi diskovi.
npr.

/dev/sda
/devsdb
To znaci da pod "ime_vaseg_tvrdog_diska" trebate upisati sdb ili sda ovisno o tome koji tvrdi disk zelite kriptirati.
Da bi ste saznali koji je pravi disk jednostavno pritisnite na njega i vidjecete particije koje su na njemu.
Ako na disku koji ste pritisnuli ima swap i druge particije znaci da tu nesmijemo dirati inace nam sistem odlazi kvragu.
Ja koristim "sdb" vi samo promijenite u vasu.

Kada zavrsi "proces nasumicnog upisa podataka" dobiti ce te prikaz nesto slican ovome:

username@hostname:/dev$ dd if=/dev/urandom of=/dev/sdb
dd: writing to `/dev/sdb': No space left on device
xxxxxxxxxxxx+x records in
xxxxxxxxxxxx+x records out
xxxxxxxxxxxx bytes (xxx GB) copied, xxxxxxxx seconds, xxx MB/s

Ovi x-evi ce na kraju predstavljati brojke vaseg tvrdog diska(velicinu, brzinu zapisa, trajanje zapisa...)

2: Pokretanje potrebnih modula.

Da bi uspjesno zavrsili kriptiranje moramo pokrenuti neke module.
Upisite u konzolu:

modprobe aes
modprobe dm-crypt
modprobe dm_mod

Ako zelite da se ovi moduli sami pokrecu za vrijeme pokretanja sustava dodajte ovo u /etc/modules:
(koristite bilo koji text editor umjesto moje komande vim, bilo bi prekomplicirano za pocetnika. npr, kate, kwrite....)

vim /etc/modules

Dobiti ce te ovaj file:

# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.
fuse
lp
# ovo sam ja dodao, tako treba izgledati i kod vas
aes
dm-crypt
dm_mod
Za Arch linux otvorite /etc/rc.conf

vim /etc/rc.conf

Dobiti ce te ovaj file (Ovo je samo dio file-a. Inace je ovo konfiguracijski file samog Arch linux-a u kojemu se mogu pokretati moduli i sl.):

# Modules to load at boot-up (in this order)
#   - prefix a module with a ! to blacklist it
#
MODULES=(mii slhc via-rhine ac97_bus snd-mixer-oss snd-pcm-oss snd-seq-oss snd-seq-device snd-seq-midi-event snd-seq snd-page-alloc snd-pcm snd-rawmidi snd-timer snd snd-mpu401-uart snd-ac97-codec snd-via82xx soundcore aes dm-crypt dm_mod)

Tako izgleda moj "MODULES" dio file-a, vi trebate samo dodati aes, dm-crypt, dm_mod ako ste Arch korisnik.
Sad smo gotovi sa pokretanjem modula za vrijeme startanja sustava. :)

2: Izrada kriptiranog tvrdog diska.

UPOZORENJE!! Tvrdi disk mora biti unmountan ako zelite uspjeti sa sljedecom komandom, ako nije dobiti ce te error slican ovome:

Check kernel for support for the aes-cbc-essiv:sha256 cipher spec !

Da unmountate tvrdi disk ucinite sljedece u konzoli:

umount /put/do/diska

Ako ste sigurni da je disk unmount-an mozete ucinit sljedece:

cryptsetup luksFormat /dev/sdb

Traziti ce vas da upisete lozinku koju zelite da imate za izabrani tvrdi disk. Preporucam nesto ovako: x3#2pL(/%2Dc&5!
Zasto tako tesku lozinku? Jer je enkripcija sigurna koliko je sigurna vasa lozinka. :)

3: Mapiranje kriptiranog tvrdog diska.

U konzolu unesite:

cryptsetup luksOpen /dev/ime_vaseg_tvrdog_diska  ime_uredjaja                            

Ime uredjaja mozete staviti sto hocete, ja cu u daljenjem procesu koristiti "data" npr. /dev/sdb data .

Sada je tvrdi disk mapiran u:    /dev/mapper/data
4: Formatiranje kriptiranog tvrdog diska - izrada file system-a.

U konzolu unesite:

mkfs.ext3 /dev/mapper/data

Ova komanda napravi file system pod imenom ext3. Takva vrsta file system-a ima podrsku za Journaling.  Journaling vam omogucuje zastitu od slucajno izgubljenih podataka. npr. ako vam se desi da nestane struje i racunalo se ugasi, a vi niste spremili ono sto ste radili nemorate se nista brinuti, jer kad ponovno upalite racunalo sa njime ce vam se vratiti svi podatci koje niste spremili. :)

5: Kreiranje mount tocke.

Kreirajmo "mount" tocku - mount tocka je direktorij gdje ce se nalaziti podatci s tvrdog diska kada ga mount-amo:

mkdir /data

6: Mount-anje tvrdog diska.

Sada cemo mount-ati nas tvrdi disk na proslo stvorenu mount tocku:

mount /dev/mapper/data /data

Kriptiranje tvrdog diska je gotovo. Mozemo ga koristit za spremanje podataka i ostalog sadrzaja koji zelimo da bude zasticen.

7: Unmount-anje tvrdog diska

Za unmountanje ucinite sljedece:

umount /data                      

UPOZORENJE! Ispred /data je UMOUNT ne UNMOUNT. To je jedna od cestih gresaka novih linux korisnika.

Te poslje unmount-a ucinite ovo:

cryptsetup luksClose data

8: Mountanje tvrdog diska.

Ako unmount-ate tvrdi disk mozete ga ponovno mount-ati pomocu ovog postupka:

1:

cryptsetup luksOpen /dev/sdb data
2:

mount /dev/mapper/data    /data

To bi bilo to sa izradom kriptiranog tvrdog diska.

Ne preuzimam odgovornost za mogucu stetu, izgubljene podatke te svu ostalu stetu koja moze nastati prilikom ovog procesa.

EDIT: Zaboravio sam reci da kriptiramo tvrdi disk sa AES 256 bit-nom enkripcijom.

        Mozete koristiti 128 ili 192 bit-nu enkripciju. AES 256 bit-na enkripcija je standardizirana za ovaj program.

        Znaci ona je default. Ove enkripcije od 128, 192, 256 bit-a su prihvacene i standardizirane

        od NIST-a(National Institue od Standards and Technology of United States(Nacionalni institut za standarde i tehnologiju SAD-a)).

Kriptiranje je proces koristenja algoritma(eng. cipher) koji mijenja file(u ovom slucaju cijeli disk) u nesto sto nije moguce procitati bez odredjene lozinke.

Imamo vise vrsta algoritama. npr Blowfishm Twofish, AES (Advanced Encryption Standard) i jos puno njih.

AES algoritam je najkoristeniji jer je i najpouzdaniji. Koliko je jaka AES enkripcija govori i to da je SAD-ova NSA-a odobrila koristenje AES algoritma za zastitu tajnih podataka te drzave. Imamo 128-bit, 192-bit te 256-bit-ne kljuceve. Postoje takozvani "block size" koji iznosi 128-bit-a(ovo je standardizirani dio).

AES algoritam su stvorila dva informaticara iz Belgije, Joan Daemen i Vincent Rijmen. Zbog toga se AES algoritam jos zove Rijndael.

Koliko sifra mora biti minimalno dugacka da je se nebi moglo razbiti nekim brute forceom u konacnom vremenu kad bih na raspolaganju imao neko super-racunalo?

Koristio bih AES enkripciju, a kljuc (256-bitni) bi se generirao iz sifre. Zanima me utrosak CPU vremena: generiranje AES kljuca  i isporbavanje na kriptiranom materijalu da li stima. Konkretno: imao bih jednostavnu sifru od 8 slova-znakova (efektivno 32bita, tj. 2^32 kombinacija)?

ako bi islo 1000 hitova u sekundi, to je za 32 bitnu (cca 8 jednostavnih znakova) sifru 2^32 = 4294967296 kombinacija = 50 dana (quad core, 12 dana).

ako bi slozio neku jacu sifru (koristeci pokoji specijalni znak !#$%.;.&, ne tesko za zapamtit) isto od oko 8 znkova, moglo bi se efektivno dobiti 64 bita, 2^64 = 18446744073709551616 kombinacija = 584.942.417 godina :D

to je prilicno dugo i kad bi imao mrezu od milijun kompjutera, trebalo bi puno godina za razbit.

e sad, kazu da ce se dolaskom kvantih racunala neke stvari ubrzati i da efektivnost 64 bitne sifra pada na pola (znaci na jacinu 32 bitne sifre). i moramo uzeti u obzir da do krajnjih korisnika dolazi tehnologija koja je izmisljena prije 5 godina, a prije 5 godina su racunala bila slabija cca 5x, sto znaci da sad vec neko fura 32 jezgrene procesora na 5ghz :)

Da bi bili 100% sigurni, treba nam onda minimum 128bitna sifra, koja se moze sastaviti od 20 i vise razlicitih znakova s tastature, a ko ce opet pamtiti toliko velike sifre poput UL7r4;73sk0.z@,pr081t.

I sve to vise nema smisla

Fedora 9 (izlazi 1. 5.) će omogućiti out-of-box enkripciju particija. Samo za vrijeme instalacije stavite kvačicu na particiju koju želite enkriptati.

Više ovdje.

Evo jedna stvar mi je nedavno pala na pamet, pošto se sad u zadnje vrijeme bavim kriptografijom. Ovo je odličan tutorial, ali ne znam da li bi ovo puno pomoglo protiv takozvanog "cold boot" napada. Kod takvog napada dva uvjeta moraju biti ispunjena: da napadač ima fizički pristup računalu te da je računalo već upaljeno. RAM memorija ima svojstvo da zadrži podatke i nakon nestanka napajanja (oni će s vremenom nestati, ali ne odmah). Napadač napravi nagli reset računala (pritiskom na reset tipku), dakle neda računalu da izvrši shut down proceduru, te brzo ubaci neki portabilni OS da se boota (USB, CD) i na taj način iskoristi to svojstvo RAM memorije i jednostavno pokupi podatke o enkripciji i tako sve ovo pada u vodu. To je teoretski, a jedini slučaj u kojem bi ovo bilo moguće u praksi koji mi pada na pamet je da ti policija naglo upadne u stan i napravi nešto ovako (opet pod uvjetom da ti je računalo bilo upaljeno), a to teško da će se dogoditi, pa ono, sigurni smo. :)

Eto ovo je čisto malo informativno. :)

1.Stavi sifru od bar 10 znakova da je kombinacija slova brojeva   i znakova i da nije rijec iz rijecnika.

npr skf63ZaF@z$

2.http://www.truecrypt.org/docs/?s=plausible-deniability

Nema razloga da se brines toliko oko ovoga...

Vecina ionako koristi True Crypt za sakrit pornjavu