Kali Linux Full Disk Encryption
Come tester di penetrazione, abbiamo spesso bisogno di viaggiare con dati sensibili archiviati sui nostri laptop. Ovviamente, ove possibile, utilizziamo la crittografia completa del disco, comprese le nostre macchine Kali Linux, che tendono a contenere i materiali più sensibili.
L'impostazione della crittografia dell'intero disco con Kali è un processo semplice. Il programma di installazione di Kali include un processo semplice per la configurazione di partizioni crittografate con LVM e LUKS. Una volta crittografato, il sistema operativo Kali richiede una password all'avvio per consentire al sistema operativo di avviare e decrittografare l'unità, proteggendo così questi dati in caso di furto del laptop. La gestione delle chiavi di decrittazione e delle partizioni viene eseguita utilizzando l'utilità cryptsetup.
Nuking la nostra installazione FDE di Kali Linux
Un paio di giorni fa, uno di noi ha avuto l'idea di aggiungere un'opzione "nucleare" alla nostra installazione di Kali. In altre parole, avere una password di avvio che distruggerebbe, anziché decrittografare, i dati sul nostro disco. Alcune ricerche su Google più tardi, abbiamo trovato una vecchia patch cryptsetup di Juergen Pabel che fa proprio questo, aggiungendo una password "nuke" a cryptsetup, che una volta utilizzata, elimina tutti gli slot di chiavi e rende inaccessibili i dati sull'unità. Abbiamo portato questa patch per una versione recente di cryptsetup e l'abbiamo pubblicata su Github.
Test della patch nucleare LUKS
Questa funzione non è ancora implementata in Kali poiché volevamo raccogliere alcuni feedback degli utenti prima di applicare questa patch alle immagini di base. Se vuoi provarlo tu stesso, queste sono le istruzioni per la costruzione. Inizia eseguendo un'installazione crittografata LVM in Kali e imposta una password di decrittazione. Una volta terminato, scarica il sorgente del pacchetto cryptsetup e applica la nostra patch. Procedi con la compilazione del pacchetto patchato come segue:
[email protected]:~# apt-get source cryptsetup
[email protected]:~# git clone https://gitlab.com/kalilinux/packages/cryptsetup-nuke-keys
[email protected]:~# cd cryptsetup-1.6.1/
[email protected]:~/cryptsetup-1.6.1# patch -p1 < ../cryptsetup-nuke-keys/cryptsetup_1.6.1+nuke_keys.diff
patching file lib/libcryptsetup.h
patching file lib/luks1/keymanage.c
patching file lib/setup.c
patching file src/cryptsetup.c
[email protected]:~/cryptsetup-1.6.1# dpkg-buildpackage -b -uc
Una volta che il pacchetto è stato creato, installa i pacchetti cryptsetup per ottenere il nostro nucleare opzione implementata:
[email protected]:~/cryptsetup-1.6.1# ls -l ../*crypt*.deb
-rw-r--r-- 1 root root 149430 Jan 4 21:34 ../cryptsetup_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 250616 Jan 4 21:34 ../cryptsetup-bin_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 105226 Jan 4 21:34 ../libcryptsetup4_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 49580 Jan 4 21:34 ../libcryptsetup-dev_1.6.1-1kali0_amd64.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../libcryptsetup*.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../cryptsetup*.deb
Ora che il nostro pacchetto cryptsetup con patch è stato installato, possiamo andare avanti e aggiungere una chiave "nuke" alla nostra configurazione:
[email protected]:~# cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: (existing passphrase)
Enter new passphrase for key slot: (nuke passphrase)
Ehi amico, dov'è il mio Drive?
A ogni successivo riavvio, ti verrà richiesta la password di decrittazione LUKS ogni volta come al solito. Se per qualsiasi motivo dovessi inserire la password nucleare, le chiavi salvate verrebbero eliminate rendendo i dati inaccessibili. Dovremmo implementare questa patch nel pacchetto cryptsetup? Facci sapere cosa ne pensi tramite questo rapido sondaggio. Terremo aperto questo sondaggio per un paio di settimane e ti terremo aggiornato su eventuali ulteriori sviluppi di questa funzione.
Cryptseup Nuke Option in Kali
Add nuke features to cryptsetup ?*
- [ ] Yes, add this feature!
- [ ] Stop bothering me
- [ ] No, leave cryptsetup alone.
Aggiornamento: La patch nucleare è stata introdotta in Kali Linux ed è disponibile per impostazione predefinita in Kali Linux v1.0.6.
Aggiornamento: Abbiamo pubblicato un esempio di caso d'uso per la funzione Nuke in un successivo post sul blog "Come eseguire il bombardamento dell'installazione crittografata di Kali Linux".
Aggiornamento: A partire da luglio 2019, Kali Linux non distribuisce più questa patch cryptsetup, ma abbiamo introdotto un pacchetto cryptsetup-nuke-password che fornisce una funzionalità simile senza modificare cryptsetup.
[email protected]:~# apt install cryptsetup-nuke-password
[email protected]:~# dpkg-reconfigure cryptsetup-nuke-password