Pillole di sicurezza 2: cifrare un filesystem

pubblicato: venerdì 30 marzo 2007 da Andrea de Palo in: Software Varie Security

Visto che abbiamo già affrontato il discorso relativo alla cifratura di un singolo file mi sembra corretto affrontare anche quello che interessa un intero filesystem, mostrandovi quali siano le migliori soluzioni per svolgere questo tipo di operazione; in questa trattazione non considereremo TrueCrypt, visto che è già stato argomento di discussione qui e qui.

loopback & dm-crypt. Se Linux è il kernel che muove il vostro sistema potete scegliere tra due opzioni: il device di loopback oppure dm-crypt. Entrambi sono integrati nel kernel ( dm-crypt lo è a partire dal ramo 2.6 ) e consentono di cifrare interi filesystem senza dover ricorrere a patch o altre complicazioni; ambedue sono ben documentati ma dm-crypt risulta essere più sicuro e performante del device di loopback. A questo si aggiunga il fatto chedm-crypt si trova alla base di progetti come LUKS e che, oltre a consentire l’utilizzo di più chiavi, consente l’accesso al filesytem anche da Windows ( tramite FreeOFTE ). dm-crypt risulta quindi una scelta particolarmente completa e ricca.
eCryptfs. Un’altra alternativa presente nei recenti kernel della serie 2.6 è rappresentata da eCryptfs, un modulo ( e dei componenti userspace ) che consentono la cifratura dei file appoggiandosi al filesystem della partizione; questo approccio consente una maggiore pulizia del codice e del design rispetto quelli basati su FUSE, garantendo al contempo uno sviluppo sicuramente più semplice. Un altro punto di forza di eCryptfs è la semplicità dei backup ( i metadata crittografici sono archiviati all’interno dell’header di ogni file ) mentre funzionalità come la gestione delle chiavi e la possibilità di cifrare anche i nomi dei file sono previste per le prossime versioni.
CryptoFS & EncFS. Per slegare la cifratura dai sorgenti del kernel qualcuno ha pensato di sfruttare FUSE per la creazione di filesystem cifrati; a differenza degli altri approcci CryptoFS e EncFS archiviano i file crittografati in una directory e non in un unico file, consentendo quindi ad un attaccante di individuare dimensione, permessi e numero dei file in questione. In compenso sia CryptoFS che EncFS non sono soggetti alle limitazioni sulle dimensioni dei file cifrati ( a differenza degli approcci basati sul “file contenitore” ); stando ad un benchmark effettuato da Tom’s Hardware LUKS è nettamente più performante delle soluzioni basate su FUSE.

[ via Linux.com ]

(nessun voto)

5 commenti

Articoli simili

La Cina blocca anche i bridge di Tor del 12 mar 2010

Firewall Builder 4.0 Beta del 10 mar 2010

OpenSSH 5.4 e la nuova modalità "netcat" del 09 mar 2010

Swiftfox, Firefox ottimizzato per Linux del 08 mar 2010

Limitare le connessioni SSH e tarpitting del 08 mar 2010

Argomenti Simili

cryptofs, dm-crypt, ecryptfs, encfs, Fuse, kernel, linux, loopback, security, software, truecrypt

Gallerie Correlate

Commenti dei lettori

(Inserisci un commento - Nascondi commenti anonimi)

davide_non registrato
30 mar 2007 - 10:16 - #1

0 punti

il debian installer permette di installare il sistema usando dm-crypt, ubuntu? mi interesserebbe saperlo per il mio prossimo notebook.
hardskinone
30 mar 2007 - 17:00 - #2

0 punti

Io ho usato questa documentazione [1].

https://help.ubuntu.com/community/?action=fullsearch&context=180&value=encrypt&titlesearch=Titoli
Jena Plisskin
30 mar 2007 - 18:25 - #3

0 punti

Stavo provando Etch su Virtualbox e in fase di installazione chiede se si vuole un volume LVM criptato.
stc
30 mar 2007 - 21:24 - #4

0 punti

tutto molto interessante, sarebbe comodo trovare tutto nell’installer evitando sbattimenti e essere + produttivi.
E’ importante cryptare la propria home o cartelle + riservate.
Mi pare manchi un sistema in gnome che chieda la pass per montare cartelle/home cryptate…, giusto? se si, va colmata presto questa cosa.
Saluti
ossblog
26 apr 2007 - 09:01 - #5

0 punti

[…] […]