Il y a eu pas mal de discussions autour du correctif nuke LUKS récemment introduit que nous avons ajouté au package cryptsetup dans Kali Linux. Nous voulions profiter de cette occasion pour mieux expliquer cette fonctionnalité, ainsi que pour démontrer quelques approches utiles qui valent la peine d'être connues.
LUKS Nuke en bref
Comme bien expliqué par Michael Lee dans son article ZDNet, lors de la création d'un conteneur LUKS chiffré, une clé maîtresse est générée de manière aléatoire. Une phrase de passe est ensuite utilisée pour chiffrer la clé principale à son tour. Ce processus signifie que la phrase de passe n'est pas directement couplée aux données. Autrement dit, si deux ensembles de données identiques sont chiffrés et que la même phrase de passe est utilisée, les clés principales restent uniques pour chaque ensemble et ne peuvent pas être échangées. Cependant, cela signifie également que, quelle que soit la phrase de passe utilisée, si la clé principale est perdue, la récupération des données est impossible. Ce processus se prête commodément à être utilisé comme une arme nucléaire en essuyant délibérément les touches.
Exemple d'utilisation de LUKS Nuke
Notre objectif principal pour l'introduction de cette fonctionnalité dans Kali Linux est de simplifier le processus de déplacement en toute sécurité avec des informations client confidentielles. Alors que "LUKS Nuking" votre lecteur se traduira par un disque inaccessible, il est possible de sauvegarder vos emplacements de clés au préalable et de les restaurer après coup. Ce que cela nous permet de faire, c'est de « bricker » nos ordinateurs portables sensibles avant tout déplacement, de nous séparer des clés de restauration (que nous chiffrons), puis de les « restaurer » sur les machines une fois de retour en lieu sûr. De cette façon, si notre matériel est perdu ou consulté d'une autre manière au milieu de nos voyages, personne ne peut restaurer les données qu'il contient, y compris nous-mêmes.
Il existe d'autres moyens de supprimer vos emplacements de clés, mais l'avantage de l'option Nuke est qu'elle est rapide, facile et ne vous oblige pas à vous connecter complètement à votre installation Kali. Si vous conservez une sauvegarde de votre en-tête, vous pouvez détruire les emplacements des clés chaque fois que vous vous sentez mal à l'aise. Effectuez ensuite une restauration lorsque vous vous sentez en sécurité.
Essayez ceci par vous-même
Passons en revue les mouvements de chiffrement, de sauvegarde, de destruction, puis de restauration de vos données à l'aide de Kali Linux. Commencez par télécharger et installer Kali Linux 1.0.6 avec Full Disk Encryption. Une fois cela fait, vous pouvez vérifier vos informations comme suit :
[email protected]:~# cryptsetup luksDump /dev/sda5
LUKS header information for /dev/sda5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: 04 cd d0 51 bf 57 10 f5 87 08 07 d5 c8 2a 34 24 7a 89 3b db
MK salt: 27 42 e5 a6 b2 53 7f de 00 26 d3 f8 66 fb 9e 48
16 a2 b0 a9 2c bb cc f6 ea 66 e6 b1 79 08 69 17
MK iterations: 65750
UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
Key Slot 0: ENABLED
Iterations: 223775
Salt: 7b ee 18 9e 46 77 60 2a f6 e2 a6 13 9f 59 0a 88
7b b2 db 84 25 98 f3 ae 61 36 3a 7d 96 08 a4 49
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Comme vous pouvez le voir, nous avons l'emplacement 0 activé avec les emplacements 1 à 7 inutilisés. À ce stade, nous allons ajouter notre clé nuke.
[email protected]:~# apt install cryptsetup-nuke-password
[email protected]:~# dpkg-reconfigure cryptsetup-nuke-password
Cela n'a rien changé au conteneur LUKS, à la place, il a installé le mot de passe nuke et un petit crochet dans l'initrd. Ce crochet détectera quand vous entrez votre mot de passe nuke au démarrage et il appellera "cryptsetup luksErase " sur votre conteneur LUKS à ce moment-là.
Formidable. Nous devons maintenant sauvegarder les clés de chiffrement. Cela peut facilement être fait avec l'option "luksHeaderBackup".
[email protected]:~# cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5
[email protected]:~# file luksheader.back
luksheader.back: LUKS encrypted file, ver 1 [aes, xts-plain64, sha1] UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
[email protected]:~#
Donc, dans notre cas, nous aimerions chiffrer ces données pour le stockage. Il existe plusieurs façons de procéder, mais nous utiliserons openssl pour rendre le processus rapide et facile en utilisant les outils par défaut de Kali.
[email protected]:~# openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:
[email protected]:~# ls -lh luksheader.back*
-r-------- 1 root root 2.0M Jan 9 13:42 luksheader.back
-rw-r--r-- 1 root root 2.0M Jan 9 15:50 luksheader.back.enc
[email protected]:~# file luksheader.back*
luksheader.back: LUKS encrypted file, ver 1 [aes, xts-plain64, sha1] UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
luksheader.back.enc: data
Super, nous avons maintenant l'en-tête crypté prêt à être sauvegardé. Dans ce cas, nous aimerions placer l'en-tête à un endroit facilement accessible. Cela pourrait être aussi simple que sur une clé USB qui est conservée dans un endroit sûr. À ce stade, redémarrons et utilisons la clé Nuke et voyons comment Kali répond.
Nous avons donc utilisé la clé Nuke et, comme prévu, nous ne pouvons plus démarrer dans Kali. Voyons ce qui s'est passé sur le disque réel en démarrant sur un CD live Kali et en vidant à nouveau l'en-tête LUKS.
[email protected]:~# cryptsetup luksDump /dev/sda5
LUKS header information for /dev/sda5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: 04 cd d0 51 bf 57 10 f5 87 08 07 d5 c8 2a 34 24 7a 89 3b db
MK salt: 27 42 e5 a6 b2 53 7f de 00 26 d3 f8 66 fb 9e 48
16 a2 b0 a9 2c bb cc f6 ea 66 e6 b1 79 08 69 17
MK iterations: 65750
UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
Key Slot 0: DISABLED
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Comme nous pouvons le voir, aucun emplacement de clé n'est utilisé. Le Nuke a fonctionné comme prévu. Pour restaurer l'en-tête en place, il suffit de récupérer l'en-tête crypté de votre clé USB. Une fois que nous l'avons, nous pouvons le déchiffrer et effectuer notre restauration :
[email protected]:~# openssl enc -d -aes-256-cbc -in luksheader.back.enc -out luksheader.back
enter aes-256-cbc decryption password:
[email protected]:~# cryptsetup luksHeaderRestore --header-backup-file luksheader.back /dev/sda5
WARNING!
========
Device /dev/sda5 already contains LUKS header. Replacing header will destroy existing keyslots.
Are you sure? (Type uppercase yes): YES
[email protected]:~# cryptsetup luksDump /dev/sda5
LUKS header information for /dev/sda5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: 04 cd d0 51 bf 57 10 f5 87 08 07 d5 c8 2a 34 24 7a 89 3b db
MK salt: 27 42 e5 a6 b2 53 7f de 00 26 d3 f8 66 fb 9e 48
16 a2 b0 a9 2c bb cc f6 ea 66 e6 b1 79 08 69 17
MK iterations: 65750
UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
Key Slot 0: ENABLED
Iterations: 223775
Salt: 7b ee 18 9e 46 77 60 2a f6 e2 a6 13 9f 59 0a 88
7b b2 db 84 25 98 f3 ae 61 36 3a 7d 96 08 a4 49
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Nos créneaux sont maintenant restaurés. Tout ce que nous avons à faire est simplement de redémarrer et de fournir notre mot de passe LUKS normal et le système revient à son état d'origine.