Como alguém deve configurar a criptografia de disco completo no OpenBSD?

19

Existe um método preferido para configurar a criptografia de disco completo no OpenBSD, semelhante ao dm-cryptLinux?

Estou procurando por criptografia de disco completo, como se alguém roubasse meu notebook, poderia acessar os dados armazenados nele. Outro motivo é que nem sempre estou ao lado do meu notebook, para que alguém possa comprometer a integridade do meu netbook. Esses são os dois principais problemas que me fazem acreditar que a criptografia de disco completo é importante para mim.

LanceBaynes
fonte
Você tinha duas perguntas completamente independentes. Como eu respondi a um e ninguém respondeu ao outro, removi a parte sobre o Chrome da sua pergunta. Sinta-se à vontade para postar uma nova pergunta sobre a execução do Chrome no OpenBSD.
Gilles 'SO- stop be evil'
No OpenBSD 5.3 , a criptografia completa do disco está disponível! Os volumes> softraid (4) RAID1 e de criptografia agora podem ser inicializados no i386 e> amd64 (criptografia de disco completo). Portanto, além do gerenciador de inicialização, TUDO está criptografado. :)
evachristine

Respostas:

15

O OpenBSD suporta criptografia de disco completo somente desde o OpenBSD 5.3 . As versões anteriores requerem uma partição de inicialização de texto não criptografado. Não sei quando o instalador foi modificado para oferecer suporte à instalação direta em uma partição criptografada (com o gerenciador de inicialização ainda não criptografado, é claro, porque algo precisa descriptografar o próximo bit).

De qualquer forma, é pouco útil criptografar a partição do sistema¹. Portanto, sugiro instalar o sistema normalmente, criar uma imagem do sistema de arquivos criptografados e colocar seus dados confidenciais ( /home, partes de /var, talvez alguns arquivos /etc) lá.

Se você deseja criptografar a partição do sistema de qualquer maneira (porque você tem algum caso de uso especial, como algum software confidencial) e não instalou um sistema criptografado originalmente, veja como fazê-lo.

Inicialize na sua instalação do OpenBSD e crie um arquivo que conterá a imagem do sistema de arquivos criptografados. Escolha um tamanho razoável, pois será difícil mudar mais tarde (você pode criar uma imagem adicional, mas precisará digitar a senha separadamente para cada imagem). A vnconfigpágina de manual possui exemplos (embora estejam faltando algumas etapas). Em poucas palavras:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Adicione entradas correspondentes a /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Adicione comandos para montar o volume criptografado e o sistema de arquivos nele no momento da inicialização para /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Verifique se tudo está funcionando corretamente executando estes comandos ( mount /dev/svnd0c && mount /home).

Observe que isso rc.localé executado no final do processo de inicialização; portanto, você não pode colocar arquivos usados ​​pelos serviços padrão, como ssh ou sendmail, no volume criptografado. Se você quiser fazer isso, insira esses comandos /etc/rc, logo depois mount -a. Em seguida, mova as partes do seu sistema de arquivos que você considera sensíveis e mova-as para o /homevolume.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Você deve criptografar seu swap também, mas o OpenBSD faz isso automaticamente hoje em dia.

A maneira mais nova de obter um sistema de arquivos criptografado é através do driver de invasão de software softraid . Veja as páginas de manual softraide bioctlou o HOWTO NAS criptografado do OpenBSD de Lykle de Vries para obter mais informações. Versões recentes do OpenBSD suportam a inicialização de um volume softraid e a instalação em um volume softraid, passando para um shell durante a instalação para criar o volume.

¹ Até onde eu sei, a criptografia de volume do OpenBSD é protegida por confidencialidade (com Blowfish), não por integridade . Proteger a integridade do sistema operacional é importante, mas não há necessidade de confidencialidade. Existem maneiras de proteger a integridade do sistema operacional também, mas estão além do escopo desta resposta.

Gilles 'SO- parar de ser mau'
fonte
Você pode esclarecer a afirmação "Proteger a integridade do sistema operacional é importante, mas não há necessidade de confidencialidade"? Você quer dizer que a criptografia de volume do OpenBSD é apenas um truque de marketing ou algo não tão importante?
Mais informações sobre integridade: unix.stackexchange.com/questions/9998/…
3
@hhh: A criptografia do OpenBSD fornece confidencialidade. Isso é importante para seus próprios dados, não é importante para os arquivos do SO que qualquer pessoa pode baixar. (ou seja, a criptografia de volume é importante, mas não a história completa.) Integridade é defesa contra alguém que altere secretamente seus dados ou, pior ainda, instale malwares se eles tiverem acesso físico ao seu disco - um ataque de empregada doméstica . É difícil se defender de ataques contra empregadas más (não sei o que o OpenBSD tem a oferecer), mas também é difícil de realizar.
Gilles 'SO- stop be evil'
Essa resposta não é mais correta, no OpenBSD 5.7 e anteriores já é possível instalar o OS na partição criptografada desde o início
Freedo
@Liberdade Atualizei minha resposta para mencionar essa possibilidade. Aparentemente, isso é possível desde a versão 5.3, que ainda não existia quando escrevi esta resposta.
Gilles 'SO- stop be evil'
3

O Softraid com a disciplina CRYPTO foi planejado pelos designers do OBSD para oferecer suporte à criptografia de disco completo. Também havia outro método com o SVND que agora está obsoleto.

user26533
fonte