Criptografia completa de disco com dm-crypt (sem LUKS)

8

Atualmente, estou tentando obter criptografia de disco completo usando o dm-crypt no modo simples sem o cabeçalho LUKS com um /bootdispositivo USB separado .

Meu principal objetivo é obter negação plausível em uma distribuição baseada no Debian. Por enquanto, eu consegui criptografar partições usando cryptsetupe instalando a /bootpartição em uma chave USB separada. Tudo corre como deveria e, como o cabeçalho para criptografia não está armazenado no LUKS, preciso inseri-lo manualmente na tela do initramfs, mas nesta etapa recebo um erro que indica que não há configuração de criptografia no initramfs ("/ bin / sh: cryptsetup: not found ") ao tentar analisar o cabeçalho.

Em conclusão:

  • dev/sdacriptografado usando dm-crypt( /roote /homevolumes) com:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
  • dev/sdb boot stick com o grub instalado

Eu posso inicializar com sucesso a partir do boottick. Eu vejo a tela inicial do Ubuntu por cerca de 20 segundos, que é o que eu queria obter por negação plausível e, então, cai no initramfs reclamando por não conseguir encontrar /dev/mapper/root- o que também é algo que eu queria alcançar.

O problema é que, quando eu quero analisar a linha do cryptsetup que me permite digitar uma senha e continuar com a inicialização, o initramfs reclama de "cryptsetup: not found".

Eu acho que essa reclamação é verdadeira. Minha pergunta é: como instalar o cryptsetup no initramfs para permitir a inicialização mais rápida do prompt de senha?

Além disso, eu sei que eu estou omitindo algo com adicionando as entradas apropriadas em /etc/fstab, /etc/crypttabe dispositivos não são encontrados durante a inicialização.

Estes são os guias que encontrei e usei para configurar toda a configuração atual, talvez isso esclareça as coisas que não abordamos na minha pergunta:

O primeiro está um pouco desatualizado e o segundo é para o Arch Linux, mas eu usei dois deles com a mais nova instalação do Lubuntu, com pequenos ajustes.

Rowen
fonte
1
aguarde a bifurcação do truecrypt e faça uma solicitação de recurso ...
RobotHumans 4/14

Respostas:

2

De acordo com o initramfs-tools (8) , pode-se adicionar programas à imagem initrd adicionando, por exemplo, o seguinte a um script de gancho :

copy_exec / sbin / cryptsetup / sbin

Scripts de gancho de exemplo podem ser encontrados no /usr/share/initramfs-tools/hooksmeu sistema Ubuntu e /usr/share/initramfs-tools/hooks/cryptrootestão realmente adicionando /sbin/cryptsetupà initrdimagem.

Exemplo:

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
=> Nenhuma configuração de criptografia incluída, ainda.

$ cat / etc / initramfs-tools / hooks / fde
#! / bin / sh

. / usr / share / initramfs-tools / hook-functions
copy_exec / sbin / cryptsetup / sbin

$ sudo chmod 0755 / etc / initramfs-tools / hooks / fde
$ sudo update-initramfs -u

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
-rwxr-xr-x 1 raiz da raiz 59248 21 de agosto 04:04 sbin / cryptsetup
-rw-r - r-- 1 raiz raiz 158848 21 de agosto 04:04 lib / x86_64-linux-gnu / libcryptsetup.so.4
ckujau
fonte