Encriptar disco o pendrive USB con LUKS en (K)Ubuntu
Escrito por danitxu en /usr/share/doc, tags: disco, encriptación, luks, pendrive, usbTengo algunos ficheros con información personal de los que quiero guardar copias seguras en un disco y un pendrive USB y, sin pretender descubrir la pólvora en este post, voy a aprovechar para conocer un poco las alternativas disponibles.
Respecto al nivel al que hacer la encriptación, una clasificación posible sería:
- Las que son a nivel de disco/partición/sistema de ficheros (aquí una comparativa). Una muy buena tabla es ésta de wikipedia.
- Las que operan sobre ficheros individuales.
Otros criterios para el software concreto serían, ej: en el caso de Linux, si el software está en User space o Kernel space, las funcionalidades adicionales ([des]encriptación, firma, generación de claves, resumen o hash), o los algoritmos empleados.
Juntando la lista de wikipedia por una parte, y por otra haciendo apt-cache search crypt y limpiando el listado que me aparece (librerías, wrappers, GUIs, -dev, -dbg, encriptación hardware,…), recojo en el wiki mis notas.
No hay un criterio claro de cuál es la mejor opción, y voy a probar con encriptación de una partición mediante LUKS. Este método encripta en base a una passphrase (la pide nada menos que 3 veces), y no requiere un fichero físico de llaves privada/pública. Los pasos a seguir son:
1) Particionar el disco USB. En mi caso como tiene 1 Tb y voy a hacer backup de todo mi disco duro, hago 2 particiones de 500 Gb cada una. De este modo podré jugar con copias rotativas.
2) Formatear con LUKS; cambio el sistema de ficheros FAT por defecto a ext3 porque me interesa almacenar los atributos de propietarios de ficheros y algún otro; (tarda más que en FAT porque tiene que crear las tablas de inodos,…):
# luksformat -t ext3 /dev/sdh1
Creating encrypted device on /dev/sdh1...
WARNING!
========
Sobrescribirá los datos en /dev/sdh1 de forma irrevocable.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Orden satisfactoria.
Please enter your passphrase again to verify it
Enter LUKS passphrase:
key slot 0 unlocked.
Orden satisfactoria.
mke2fs ...
A pesar de que da algún aviso de device busy (quizás por estar en dolphin, KDE,…) funciona a la perfección, y si se desconecta y se vuelve a conectar el dispositivo, en Kubuntu 9.10 pide automáticamente el password y ya está listo para usarlo.
Haciendo lsmod puedo comprobar cómo están:
aes_generic
aes_x86_64
cbc
cryptd
dm_crypt
sha256_generic
Al repetir el formateo para la segunda partición y conectarlo, por algún motivo no hace el montaje correctamente en el dolphin, pero probando a hacer este par de líneas de comandos sí que se ven ambas particiones en dolphin:
sudo cryptsetup luksOpen /dev/sdh1 XX
sudo cryptsetup luksOpen /dev/sdh2 YY
(Se obvia la de sudo mount /dev/mapper/XX /media/disk1). Para cerrarlo sería:
sudo umount /media/disk
sudo cryptsetup luksClose XX
Si se quiere ver el estado hacer sudo cryptsetup status XX
Por indicar algún dato más, me ha tardado 3 h y 20 min en copiar unos 300 Gb al disco usb. Para la próxima, como usaré rsync y el grueso de la información no cambia demasiado, será mucho más rápido.
That’s all, folks!
Entradas (RSS)