Plně šifrovaný disk na moderním systému

Podobné dokumenty
Šifrovaný disk v Linuxu

Šifrování flash a jiných datových úložišť

Linux RAID, LVM. 27. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Správa linuxového serveru: Šifrování s dm crypt/luks

Správa linuxového serveru: Dokončení praxe šifrování s dm crypt/luks

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Linux RAID, LVM. Ondřej Caletka

Zálohování pro začátečníky. Ondřej Caletka

Hesla včera, dnes a zítra

Instalace Debianu pomocí debootstrap

Střední odborná škola a Střední odborné učiliště, Hořovice

Použití šifrovaných disků v Linuxu

Linux CryptoFS. Petr Novický

Administrace Unixu a sítí

Open Source a šifrování dat OFTE. Pavel Machula

Ondřej Caletka. 21. října 2015

Šifrování disků a TrueCrypt

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Šifrování systémového disku C: a datového disku D: ve standardním image

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Ochrana soukromí v DNS

Šifrování disků... (nejen) v Linuxu. Milan Brož mbroz@redhat.com

Ondřej Caletka. 13. března 2014

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Bezpečné používání linuxového desktopu

Ondřej Caletka. 27. března 2014

Acronis. Lukáš Valenta

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

RAID základní informace

Softwarově definované úložiště pod taktovkou EMC Lukáš Bělovský, konzultant Gapp System

Podzim Boot možnosti

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Automatizace bootování s novabootem

Instalace OS, nastavení systému

Středoškolská technika Encryption Protection System

Co musíte vědět o šifrování

2.1 Obecné parametry Obecné parametry Rack serveru

VirtualBox desktopová virtualizace. Zdeněk Merta

LINUX ADRESÁŘOVÁ STRUKTURA. Co to, hrome, je? V této lekci se budeme brouzdat adresáři. SPŠ Teplice - 3.V

MARIE PACS S PACSem hezky od podlahy když se data sypou!

Virtualizace v Linuxu

Xen je volně šířený hypervisor (virtual machine monitor) pro architektury IA-32, x86, x86-64, IA- 64 a PowerPC 970.

Jak funguje SH Síť. Ondřej Caletka

DNSSEC na vlastní doméně snadno a rychle

Instalace webové služby Mydlinka

Bloková zařízení v LINUXu Jan Vrbata - GOPAS

Souborové systémy a logická struktura dat (principy, porovnání, příklady).

Stavba operačního systému

Příloha č. 2A Zadávací dokumentace k Veřejné zakázce Dodávka technologického řešení pro Geoportál

ESET NOD32 Antivirus 4 pro Linux Desktop. Stručná příručka

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) / Mac OS X 10.5, 10.6 / Linux (RPM, DEB) Stručná příručka

Srovnání Linuxu a BSD z pohledu jádra. Jan Dyrczyk

Linux připojování zařízení. 6 praktická část

Od CGI k FastCGI. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Antivirus: Proaktivně detekuje a likviduje známé i neznámé hrozby lépe než kterýkoliv jiný bezpečnostní produkt.

vpsfree.cz: linuxový server u neziskovky

Zabezpečení organizace v pohybu

ICZ - Sekce Bezpečnost

Nginx v roli web serveru

Brno. 30. května 2014

Zajímavé funkce OpenSSH

Tomáš Borland Valenta

Téma 1: Bitová kopie systému. Téma 1: Bitová kopie systému

Open Source a šifrování dat OFTE

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Bojíte se? Pořiďte si!

Návod k obsluze USB keyloggeru se záznamem času

Jak se měří Internet

Vývoj programů. ÚVOD DO OPERAČNÍCH SYSTÉMŮ

Demo: Multipath TCP. 5. října 2013

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Kontrolní seznam projektu a systémové požadavky Xesar 3.0

Red Hat Enterprise Virtualization

Střední odborná škola a Střední odborné učiliště, Hořovice

Co musíte vědět o šifrování

Přechod na síťovou verzi programu

Martin Trnečka. Katedra informatiky, Univerzita Palackého v Olomouci

Mobilita a roaming Možnosti připojení

Bootkity v teorii a praxi. Martin Dráb martin.drab@ .cz

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

Univerzita Pardubice Fakulta elektrotechniky a informatiky ISOSY Matěj Trakal

2) Nový druh připojení Ethernet-CA5 umožňující připojit nové zařízení CA5 a to přes Ethernet nebo přes GPRS

2.2 Acronis True Image 19

Nahrávání image flash do jednotek APT81xx, PPC81xx

C2115 Praktický úvod do superpočítání

Definice OS. Operační systém je základní programové vybavení počítače, nezbytné pro jeho provoz.

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Průzkum před testováním použitelnosti

Operační systémy 2. Přednáška číslo 2. Přidělování paměti

multiverze Pro Windows Vista/XP/9x/2000

- PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní)

Instalace Microsoft SQL serveru 2012 Express

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Univerzální rezervační systém. Uživatelská příručka

Specifikace předmětu veřejné zakázky

Specifikace předmětu veřejné zakázky

Instalační příručka Command WorkStation 5.6 se sadou Fiery Extended Applications 4.2

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Transkript:

Plně šifrovaný disk na moderním systému Ondřej Caletka 26. května 2018 Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 1 / 23

O sdružení CESNET Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 2 / 23

Šifrování disku fyzická bezpečnost dat vypnutého počítače nesupluje šifrování kri ckých uživatelských dat, např. privátních klíčů, hesel bez výrazného vlivu na výkon na úrovni souborů nebo blokového zařízení pouze cenných dat (/home) nebo celého disku Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 3 / 23

Scénáře útoku odcizení zařízení, servisní zásah stačí obyčejné šifrování důležitých souborů cold-boot útok paměť je připájena lze ji vyčíst nezabezpečeným Thunderboltem lze nastartovat jednoúčelový systém po restartu nelze eliminovat na straně OS vyžaduje správné nastavení a důvěru ve firmware evil-maid útok úprava nešifrované čás systému vyzradí heslo při přís m zadání Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 4 / 23

Moderní systém používá UEFI vyžaduje EFI System Par on zbytek disku může být šifrovaný podporuje UEFI Secure Boot spus jen podepsané binárky používá pokročilý souborový systém (Btrfs/ZFS) subvolumes namísto samostatných oddílů podpora snapshotů kontrola integrity dat Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 5 / 23

Šifrování celého disku lepší odolnost pro evil-maid menší plocha viditelná útočníkovi i bez MAC je problema cký útok na zašifrovaná data vyžaduje zadání hesla při startu nelze nastartovat vzdáleně a odemknout přes síť Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 6 / 23

Tradiční šifrování celého disku nešifrovaný oddíl /boot obsahuje zavaděč, jádro a initramfs initramfs se během startu zeptá na heslo a připojí ostatní disky chceme-li Secure boot, měl by zavaděč ověřovat podpisy jádra a initramfs Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 7 / 23

Nešlo by to lépe? zavaděč GRUB podporuje šifrované svazky lze tedy zašifrovat i obraz jádra a initramfs vlastní zavaděč musí být v nešifrované EFI System Par on stačí mít podepsaný zavaděč Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 8 / 23

Nešlo by to lépe? zavaděč GRUB podporuje šifrované svazky lze tedy zašifrovat i obraz jádra a initramfs vlastní zavaděč musí být v nešifrované EFI System Par on stačí mít podepsaný zavaděč Dvojí zadávání hesla zavaděčem rozšifrovaný oddíl nelze předat jádru klíč ale může být uložen v initramfs Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 8 / 23

Potřebuje ještě někdo LVM? virtualizace blokových zařízení možnost dělit či spojovat fyzické svazky do logických možnost snapshotů, thin provisioningu, zrcadlení, většina funkcí implementována na vně v Btrfs Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 9 / 23

Potřebuje ještě někdo LVM? virtualizace blokových zařízení možnost dělit či spojovat fyzické svazky do logických možnost snapshotů, thin provisioningu, zrcadlení, většina funkcí implementována na vně v Btrfs Ideální pro swap nutný pro funkci hibernace Btrfs nepodporuje swap soubory stránkování do samostatného oddílu by vyžadovalo dvojité odemykání Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 9 / 23

Prak cká realizace xkcd 910 Randall Munroe, překlad Robert Krátký, CC-BY-NC Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 10 / 23

Finální architektura EFI System Par on LUKS kontejner LVM oddíl s Btrfs subvolume @gentoo subvolume @fedora subvolume LVM oddíl pro swap Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 11 / 23

Jak to nakonfigurovat automa cký instalátor patrně selže Fedora: oddíl /boot nesmí být typu Btrfs, nesmí být šifrovaný Gentoo a Arch Linux nemají instalátor, takže fungují ;) potřebujeme zařídit aby GRUB připojil šifrovaný disk aby initramfs rozšifroval disk podle klíče v něm uloženém Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 12 / 23

Jak nepřijít o výkon cryptsetup benchmark # Testy jsou počítány jen z práce s pamětí (žádné I/O úložiště). PBKDF2-sha1 1394382 iterations per second for 256-bit key PBKDF2-sha256 1635843 iterations per second for 256-bit key PBKDF2-sha512 1339177 iterations per second for 256-bit key PBKDF2-ripemd160 1018034 iterations per second for 256-bit key PBKDF2-whirlpool 777875 iterations per second for 256-bit key # Algorithm Key Encryption Decryption aes-cbc 128b 1112,2 MiB/s 3501,2 MiB/s serpent-cbc 128b 93,5 MiB/s 713,3 MiB/s twofish-cbc 128b 212,7 MiB/s 385,7 MiB/s aes-cbc 256b 840,4 MiB/s 2788,0 MiB/s aes-xts 256b 2558,9 MiB/s 2560,5 MiB/s aes-xts 512b 2207,0 MiB/s 2223,6 MiB/s Je potřeba mít zavedený modul aesni_intel Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 13 / 23

cryptsetup benchmark bez podpory AES-NI # Algorithm Key Encryption Decryption aes-cbc 128b 277,9 MiB/s 321,9 MiB/s aes-cbc 256b 215,8 MiB/s 241,1 MiB/s aes-xts 256b 327,4 MiB/s 325,0 MiB/s aes-xts 512b 245,2 MiB/s 243,0 MiB/s Rychlost NVMe SSD # hdparm -Tt --direct /dev/nvme0n1 /dev/nvme0n1: Timing O_DIRECT cached reads: 2758 MB in 2.00 seconds = 1381.80 MB/sec Timing O_DIRECT disk reads: 4460 MB in 3.00 seconds = 1486.59 MB/sec Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 14 / 23

Vytváříme strukturu zařízení LUKS kontejner cryptsetup luksformat /dev/nvme0n1p2 cryptsetup luksopen /dev/nvme0n1p2 container LVM mezivrstva pvcreate /dev/mapper/container vgcreate VG /dev/mapper/container lvcreate -n btrfs -L 200G VG lvcreate -n swap -L 16G VG Systém souborů mkfs.btrfs /dev/mapper/btrfs mkswap /dev/mapper/swap Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 15 / 23

Subvolumes nezávislé čás Btrfs filesystému samostatně se snapshotují dobrá praxe je mít kořenový systém souborů v subvolume plochý nebo zanořený model plochý všechny subvolumes jsou v kořeni, následně jsou připojeny pomocí vícenásobného záznamu ve fstab zanořený subvolumes jsou umístěny přímo na svém místě, jsou připojeny automa cky s připojením rodiče vhodné pro logické oddělení uživatelských, systémových a dočasných dat Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 16 / 23

Snapper nástroj na pravidelné snapshotování z dílny opensuse předloha pro nástroj schnapps z TurrisOS automa cky vyrábí a maže snapshoty jsou vytvářeny v.snapshots je nutno nakonfigurovat pro každý subvolume zvlášť pro rollback je dobré mít logy na samostatném subvolume Snapper.io Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 17 / 23

Dracut generátor initramfs obrazů vyvinut v RedHat, adoptován kernel.org portován na Debian, Gentoo, opensuse, dokáže odemknout LUKS svazek klíčem v souboru Uložení souboru s klíčem do initramfs # dd if=/dev/random of=/boot/lukskey bs=1 count=4096 # chmod 400 /boot/lukskey # cryptsetup luksaddkey /dev/nvme0n1p2 /boot/lukskey # dracut -I /boot/lukskey Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 18 / 23

GRUB podporuje Btrfs, LVM i LUKS vlastní konfiguraci čte už ze šifrovaného disku vlastní fonty, barvy, pozadí se objeví až po zadání hesla Konfigurační parametry v /etc/default/grub GRUB_ENABLE_CRYPTODISK=y GRUB_CMDLINE_LINUX="rd.luks=1 rd.luks.key=/boot/lukskey:/ rd.luks.uuid=luks- rd.luks.allow-discards" Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 19 / 23

Lepší dialog zadání hesla sestavíme vlastní obraz GRUBu fonty a obrázky zabalíme do tar archivu memdisk.tar early-grub.cfg loadfont (memdisk)/ter-x28b.pf2 set gfxmode=auto terminal_output gfxterm background_image -m stretch (memdisk)/background.png cryptomount (hd0,gpt2) set prefix=(lvm )/root/boot/grub configfile grub.cfg Sestavení vlastního obrazu grub-mkimage -c early-grub.cfg -o grubx64.efi -O x86_64-efi -m memdisk.tar all_video gfxterm gettext png part_gpt cryptodisk luks gcry_rijndael gcry_sha256 lvm btrfs memdisk tar configfile gfxterm_background echo Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 20 / 23

UEFI Secure boot ochrana pro externí změně dat na disku čtyři databáze klíčů Pla orm Key slouží výrobci k aktualizaci ostatních klíčů Key Exchange Key klíče dodavatelů so ware, podepsané PK db databáze klíčů/o sků povoleného so waru dbx databáze revokovaného so waru je třeba kompletně vymazat a nahradit vlastní sadou klíčů dual-boot spolu s Windows je možný nástroje i postupy jsou k dispozici Sakaki s EFI Install Guide/Configuring Secure Boot Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 21 / 23

Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 22 / 23

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz h ps://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Plně šifrovaný disk na moderním systému 26. května 2018 23 / 23