Cifrare parzialmente
Cifrare parzialmente ….. Mi ero ripromesso di scrivere prima questo articolo, ma con la mia temporanea disabilità motoria, il tempo non basta mai.
Questa volta cifreremo una sola directory presente sul supporto usb.
La “chiavetta” sarà completamente in chiaro ad eccezione di una directory, quindi dovremo cifrare parzialmente la chiavetta.
Cominciamo con il procurarci il software che poi copieremo anche sul dispositivo portatile per poterlo istallare su eventuali altri computer dove avremo necessità di vedere il nostro device.
~# apt-get install ecryptfs-utils cryptsetup
prepariamo una directory sul ns computer e la directory da cifrare sul “pennino”
~# mkdir /media/chiavetta (dir sul pc locale)
montiamo il device usb
~# mount /dev/percorso /media/chiavino (dir sul pc che monta il device usb)
prepariamo una directory cifrata sulla “pennetta usb da cifrare parzialmente”
~# mkdir /media/chiavino/.directorycifrata (dir sul supporto usb)
A questo punto montiamo /media/chiavino/.directorycifrata nella posizione in chiaro /media/chiavetta dicendo di usare il filesystem cifrato.
~# mount -t ecryptfs /media/chiavino/.directorycifrata /media/chiavetta
Il sistema capisce che la directory .directorycifrata non è affatto cifrata e quindi ci chiede come abbiamo intenzione di cifrarla, scegliamo l’opzione 2 (passphrase) ed impartiamo l’invio.
IMMETTIAMO UNA PASSPHRASE DECENTE, se la pass è pippo o qwerty o roba simile è inutile cifrare.
Poi ci presenta i soliti cifrari, noi scegliamo quello che ci piace di più, io scelgo aes perché è il primo della lista (sono pigro).
Select cipher:
1) aes: blocksize = 16; min keysize = 16; max keysize = 32
2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 1
Select key bytes:
poi scegliamo la lunghezza della chiave, avrei voluto scegliere 1 ma mi è scappato 2
Select key bytes:
1) 16
2) 32
3) 24
Selection [16]: 2
Poi ci fa alcune domande alle quali rispondiamo a piacimento e successivamente la directory è montata.
spostiamoci nella dir in chiaro e creiamo un file
~# cd /media/chiavetta
~# touch filediprova.txt
~# echo “Lorem ipsum dolor sit amet, consectetur adipisci elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.” > filediprova.txt
Chiaramente se facciamo un cat di questo file lo leggiamo in chiaro, ma se andiamo a sbirciale nella directory cifrata?
~# ls -la /media/chiavetta
totale 20
drwxr-xr-x 2 root root 4096 ago 10 23:53 .
drwx—— 6 root root 4096 ago 10 23:17 ..
-rw-r–r– 1 root root 429 ago 10 23:53 filediprova.txt
~# cat /media/chiavetta/filediprova.txt
Lorem ipsum dolor sit amet, consectetur adipisci elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
~#
TUTTO CHIARO
proviamo a dare un occhio alla parte cifrata?
~# ls -la /media/chiavino/.directorycifrata/
totale 20
drwxr-xr-x 2 root root 4096 ago 10 23:53 .
drwx—— 6 root root 4096 ago 10 23:17 ..
-rw-r–r– 1 root root 12288 ago 10 23:53 ECRYPTFS_FNEK_ENCRYPTED.FWZfMYu5csny7-YNlYUSH49bz140E9Ikd4zpJP2nKjUBBm4xuFpsJbuqyk–
~#
mmmmmmmmmmm, il nome del file è decisamente differente 🙂
proviamo un cat?
~# cat /media/chiavino/.directorycifrata/ECRYPTFS_FNEK_ENCRYPTED.FWZfMYu5csny7-YNlYUSH49bz140E9Ikd4zpJP2nKjUBBm4xuFpsJbuqyk–
��TO����j
�- ”3DUfw`*bW1!�I��9�{U`���G�h6�_�4�__CONSOLEkbN����$�@j�q��x�G�ZI� ��q�ݝV91,e��`���
�s`(��}�yS�:-�U�;�ȸ��o����j�I��Ǔk!Y��’�Yy�ɴE�G��˘A�N�
,f�6�Fo��(����c��;Q�����UxN��e���z�m���P�Z!�JcX����p�]�����$mޞ�z��i��& “]D�z[�p%�Z�eZI�9vzD��0��įaqt5�Q=We���-;���OW!E�]КpD�sIf�Aa����� v��{��_�*�]��eg���je}m��уg2�r�μq��W?�ң0,�<�3jA�ƪ�����G��kM@2��`�R����K�
Molto lungo e decisamente davvero differente.
Quando abbiamo finito di usare la nostra directory cifrata è l’ora di smontarla.
~# umount /media/chiavetta/
~#
Quando la vorremo riusare, ci basterà rimontarla con un semplice mount.
Questa volta il sistema riconosce che la directory è cifrata, pertanto ci chiederà la passphrase e ci chiederà che tipo di cifrario abbiamo usato.
Per fare le cose sbrigative, sulla pennetta stessa, nella parte in chiaro mi sono scritto uno script che mi fa il mount con tutti i parametri, così mi basta digitare:
~# /media/chiavino/scriptdimontaggio.sh
Quando terminato tutto dovrò smontare sia la directory cifrata che la chiavetta usb, qundi dovrò smontare PRIMA la directory cifrata e POI la chiavetta.
Se non smonto prima la directory cifrata, questa impedirà lo smontaggio della chiavetta.
Ricordiamoci sempre che anche cifrare parzialmente un device equivale ad avere una parte cifrata, senza la passphrase, non riusciremo a riaccedere ai dati cifrati.