Olimpo Informatico

[Zeus News]

Commenti all'articolo Lucchetto digitale per hard disk esterno
Una "cassaforte" protetta da un codice segreto impedisce gli accessi non autorizzati.

[{birnebaum}]

Ho hard disk esterni da molti anni ed uso Truecrypt gratuito e strapotente (e immune alla curiosità malsana di aziende e governi) senza aver mai avuto un solo problema.
Inserisco una passfrase all'inizio della sessione ed uso l'HD senza problemi di velocità.
Il fatto che il case in oggetto non abbia bisogno di software aggiuntivo mi sembra un particolare irrilevante, a fronte di una spesa discreta e di un fattore di forma obbligato.

[franz]

ma facciamo a capirci, se questa è una enclosure, in pratica una scatoletta dove metto il mio disco i casi sono due: o il disco viene criptato 'al volo' dal sistemone super protettone, oppure uno che lo trova e vuole i miei dati lo smonta toglie il disco e il gioco è fatto. Boh

[mda]

Esistono diversi tipi di lucchetti digitali...

1) Software sulla FAT tramite un semplicissimo programmino che esiste da ANNI su ogni dispositivo esterno. Blocca solo l'accesso FAT (l'indice dove sono i file che se non sbloccato appare come rotto), volendo si può bai-passare.

2) Lucchetto hardware sulla logica dell'HD. Basta smontarlo e metterlo su un'altro controller.

3) Criptoratore. Sulla logica esiste un sistema che cripta al volo la scrittura sul disco tramite la relazione con la password. Questa è l'unica seria.

Quale userà???

Ciao

[Gummy Bear]

Un codice numerico anche di otto cifre non sembra impossibile da superare in tempi brevi anche con tentativi brute force. O no??

[dany88]

[zero]

[MaXXX eternal tiare]

[spacexplorer]

Su GNU/Linux c'è bell'e pronto LUKS, dall'installer Alternate di Ubuntu (cioè
da debconf by Debian) si può usare direttamente. L'unica pecca che ha è che
quando un volume è sbloccato la chiave resta in ram pertanto se qualcuno ha un
congelatore ad azoto ed un ramdumper pronto potrebbe congelando e strappando
di colpo le ram a macchina accesa riuscire a recuperare la chiave...

L'overhead che LUKS aggiunge è minima, non si percepisce anche su hw non nuovi
o carrozzati, la possibilità di rubare la chiave come descritto è reale ed in
laboratorio è stata provata, ma è per lo meno improbabile nella vita reale.
TrueCrypt non ha questo problema, come non lo ha zfs-crypto, però sono un po'
più scomodi da maneggiare, specie la prima...

Sistemi come quello dell'articolo ed altri mi sembrano solo prese di fondelli
per gonzi...

Ps @mda
guarda che la FAT (file allocation table) c'è solo sui fs FAT, che non credo
si trovino ancora su nessun hard-disk....

[MaXXX eternal tiare]

Da buon nubbio avendo letto frettolosamente l'articolo avevo capito male scusate, se uno apre il box quindi questo aggeggio cosa fa? lascia il disco criptato o si leggo tutto? umm.

@spacexplorer Bè su alcuni hd esterni fat ancora è usato, interessante questo luks non lo conoscevo è abbastanza facile come utilizzo?

[amldc]

[mda]

[mda]

[MaXXX eternal tiare]

[dany88]

[MaXXX eternal tiare]

[-unknown]

Non so bene perchè, ma non ho potuto resistere dal ordinare al volo questo aggeggio..
Vi saprò dire come è appena mi arriva...
In ogni caso penso proprio che ci monterò un SSD ,tanto per usufruire a pieno del Usb 3.0 e magari lo cripterò anche via truecrypt, per avere un ulteriore criptaggio...

[spacexplorer]

@MaXXX eternal tiare
dunque, se la tua distro ha pacchettizzato cryptsetup è molto semplice e rapido
facendo tutto a mano (da root o ruolo equivalente):
# installa cryptsetup
apt-get install cryptsetup

# crea il volume cifrato sul dispositivo /dev/<dev>
cryptsetup --verbose --verify-passphrase luksFormat /dev/<dev>

# aprilo e creaci un filesystem dentro
cryptsetup luksOpen /dev/<dev> <nome_a_piacere>
partprobe
mkfs.reiserfs -l MioHDCifrato /dev/mapper/<nome_a_piacere>

# montalo dove ti pare e buttaci i dati che vuoi
mkdir /media/myHD
mount /dev/mapper/<nome_a_piacere> /media/myHD
chown tuoUtente:tuoGruppo /media/myHD
rsync -av /dati/da/copiare/ /media/myHD

Se vuoi andare via grafica puoi usare gparted per dare una label e partizionare
il disco (opzionale se è già partizionato e vuoi sovrascrivere una partizione
già presente), poi da riga di comando crei solo il volume, ti sposti sul tuo
filemanager (nautilus/dolphin/*) clicchi sul volume nuovo che appare, metti la
password, se serve da root ti dai permessi sul volume (chown ...) e ci copi i
dati che vuoi. Le volte successive quando colleghi il disco ti verrà chiesta
la password e il disco sarà montato. Se usi Unity c'è anche cryptfolder
indicator, un indicatore che gestisce i volumi cifrati.

Se vuoi una mano il mio nik @gmail è disponibile è più facile a farsi che
a dirsi! Se vuoi installare tutto l'OS (cosa che consiglio vivamente) la cosa
più semplice è una fresh-install di una distro che supporti LUKS nativamente,
ad es. Ubuntu coll'installer alternate, Debian ecc, ad ogni modo è possibile
spostando altrove il contenuto della tua /, mettendo il disco sotto LUKS,
/boot a parte, riconfigurando il ramdisk per luks, sistemando gli UUID dei
volumi (se la tua distro li usa) e ricopiando indietro la root.

Il mio setup desktop/laptop in genere è:
/boot ~100Mb in ext3
pv_LUKS/vg_con_nome_significativo
lv_swap 512Mb-1Gb
lv_root 8-10Gb in btrfs (su ssd) o reiserfs (su dischi a piattelli)
lv_home tutto il resto con fs come per /

dal cd alternate di Ubuntu appena finito il partizionamento, prima di dare l'ok
all'installazione del sistema di base, batti Alt-F2, dalla shell rimonta / e
/home con:
mount -o remount,ssd,discard,compress /target/...
torna indietro e installa il tutto, arrivato all'ultimo subito dopo l'install
di grub, prima che ti chieda se vuoi installarlo sull'mbr ritorna alla shell,
sistema le opzioni di mount in /target/etc/fstab e patcha /etc/grub.d/10_linux
questo serve solo per Ubuntu 11.04, è un baco noto, cerchi la riga con

if [ "x`${grub_probe} --device ${GRUB_DEVICE} --target=fs 2>/dev/null || true`" = xbtrfs ]; then

e la sostituisci con

if [ "x`stat -f --printf=%T /`" = xbtrfs ]; then

torni all'installer, confermi l'install di grub sull'mbr e riavvi il sistema,
il gioco è fatto, l'OS schizza niente male (6-7" tempo di scrivere le pass
escluso su un Intel X-25M 160Gb, sugli 8" su un OCZ Vertex 3 da 120Gb, ~12"
su un Vertex 3 da 60Gb ecc).

Ho scritto tanto, ma quando ai tempo prova, vedrai che è molto più rapido da
fare che da spiegare credo che ubiquity, l'installer grafico di Ubuntu
dalla 11.10 supporti LVM e luks se proprio non vuoi la riga di comando...

Ps l'offerta di cifrare la /home degli installer di Ubuntu [b]non è LUKS[/b]
ma encfs, che è in userspace e quindi performa assai peggio, quest'ultimo lo
sconsiglio vivamente se non per piccoli volumi di dati che vuoi cifrare una
volta di più dentro la tua home.

@-unknown
TrueCrypt è "più sicura" di LUKS ma è di granlunga più scomoda da gestire,
non lo consiglierei...

@mda
le FAT sono una caratteristica del FS FAT di Microsoft; tutti i filesystem
unix non usano una file allocation table ma seguono una molto più logica
catena di inode; i superblock non hanno nulla a che spartire con la FAT!

[PCMaster]

Truecrypt ha la versione stand-alone che non richiede l'installazione, ed è quella che uso.

[spacexplorer]

@PCMaster
La versione standalone ti va bene per cifrare volumi esterni, non il sistema,
puoi creare un file da un tot di Gb sul tuo hd con truecrypt ed usarlo come
area di storage, puoi creare una partizione od un disco interno, ma non puoi
installarci sopra e bootarci sopra l'OS swap e /home incluse.
Se vuoi veramente avere i dati al sicuro devi lavorare solo con volumi cifrati
non limitarti a backup cifrati e simili.

LUKS ti permette facilmente di installare l'intero OS, con l'eccezione di
/boot, in un volume cifrato, ovvero chi eventualmente si impossessa del tuo
computer non sa che software usi, non può succhiarsi password salvate, la
cronologia del tuo browser, la sua cache ecc. Si può fare anche con TrueCrypt
ma è un lavoro ben più lungo e scomodo di LUKS...

In più ti da lo scrub della password in ram, ma la probabilità che qualcuno
ti freghi la macchina appena spenta con un ram-dumper ed un congelatore ad
azoto sottomano mi sembra un pelo bassa e il fatto che non sai nulla del
contenuto del volume. Con LUKS puoi determinare quanti GB di storage hai
occupato su disco; anche qui ha un'utilità solitamente poco significativa per
la maggior parte degli utenti.

Non far sapere quanti Gb dati hai su disco ti permette di usare un programmino
che ricevuta la password per decifrare il volume in base alla stessa fa vedere
alcuni dati anziché altri. Puoi per esempio se ti puntano una pistola alla
testa, dare una password che sblocca una parte del volume cifrato con OS ed un
po' di dati nella /home, omettendone alcuni che sono in un sottovolume non
visibile, un sottovolume che si può cancellare scrivendo l'intero spazio disco
che appare libero ma non scoprire se esiste o meno...