Ada cukup banyak diskusi seputar patch nuke LUKS yang baru-baru ini diperkenalkan yang kami tambahkan ke paket cryptsetup di Kali Linux. Kami ingin menggunakan kesempatan ini untuk menjelaskan fitur ini dengan lebih baik, serta menunjukkan beberapa pendekatan berguna yang perlu diketahui.
Singkatnya LUKS Nuke
Seperti yang dijelaskan dengan baik Oleh Michael Lee dalam artikel ZDNet-nya, saat membuat wadah LUKS terenkripsi, kunci master dihasilkan secara acak. Frasa sandi kemudian digunakan untuk mengenkripsi kunci master secara bergantian. Proses ini berarti bahwa frasa sandi tidak langsung digabungkan ke data. Artinya, jika dua set data identik dienkripsi dan frasa sandi yang sama digunakan, kunci master tetap unik untuk setiap set dan tidak dapat ditukar. Namun, ini juga berarti bahwa terlepas dari frasa sandi yang digunakan, jika kunci master hilang, pemulihan data tidak mungkin dilakukan. Proses ini cocok untuk digunakan sebagai nuklir dengan menghapus kunci secara sengaja.
Contoh Kasus Penggunaan Nuke LUKS
Tujuan utama kami memperkenalkan fitur ini di Kali Linux adalah untuk menyederhanakan proses perjalanan yang aman dengan informasi klien rahasia. Sementara "LUKS Nuking" drive Anda akan menghasilkan disk yang tidak dapat diakses, itu adalah memungkinkan untuk mencadangkan slot kunci Anda sebelumnya dan memulihkannya setelah itu. Apa yang memungkinkan kami lakukan adalah "membata" laptop sensitif kami sebelum melakukan perjalanan apa pun, memisahkan diri dari kunci pemulihan (yang kami enkripsi), dan kemudian "mengembalikan" mereka ke mesin setelah kembali ke lokasi yang aman. Dengan cara ini, jika perangkat keras kami hilang atau diakses di tengah perjalanan kami, tidak ada yang dapat memulihkan data di dalamnya, termasuk kami sendiri.
Ada cara lain untuk menghapus slot kunci Anda, namun keuntungan dari opsi Nuke adalah cepat, mudah, dan tidak mengharuskan Anda untuk sepenuhnya masuk ke instalasi Kali Anda. Jika Anda menyimpan cadangan header Anda, Anda dapat Nuke slot kunci kapan pun Anda merasa tidak nyaman. Kemudian lakukan pemulihan saat Anda merasa aman.
Coba sendiri
Mari kita lakukan gerakan mengenkripsi, mencadangkan, menghancurkan, dan kemudian memulihkan data Anda menggunakan Kali Linux. Mulailah dengan mengunduh dan menginstal Kali Linux 1.0.6 dengan Enkripsi Disk Penuh. Setelah selesai, Anda dapat memverifikasi informasi Anda sebagai berikut:
[email protected]:~# cryptsetup luksDump /dev/sda5
LUKS header information for /dev/sda5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: 04 cd d0 51 bf 57 10 f5 87 08 07 d5 c8 2a 34 24 7a 89 3b db
MK salt: 27 42 e5 a6 b2 53 7f de 00 26 d3 f8 66 fb 9e 48
16 a2 b0 a9 2c bb cc f6 ea 66 e6 b1 79 08 69 17
MK iterations: 65750
UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
Key Slot 0: ENABLED
Iterations: 223775
Salt: 7b ee 18 9e 46 77 60 2a f6 e2 a6 13 9f 59 0a 88
7b b2 db 84 25 98 f3 ae 61 36 3a 7d 96 08 a4 49
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Seperti yang Anda lihat, kami mengaktifkan slot 0 dengan slot 1 hingga 7 tidak digunakan. Pada titik ini, kami akan menambahkan kunci nuklir kami.
[email protected]:~# apt install cryptsetup-nuke-password
[email protected]:~# dpkg-reconfigure cryptsetup-nuke-password
Ini tidak mengubah apa pun pada wadah LUKS, melainkan memasang kata sandi nuke dan pengait kecil di initrd. Hook ini akan mendeteksi ketika Anda memasukkan kata sandi nuke Anda saat boot dan akan memanggil “cryptsetup luksErase ” pada wadah LUKS Anda saat itu.
Luar biasa. Sekarang kita perlu membuat cadangan kunci enkripsi. Ini dapat dengan mudah dilakukan dengan opsi “luksHeaderBackup”.
[email protected]:~# cryptsetup luksHeaderBackup --header-backup-file luksheader.back /dev/sda5
[email protected]:~# file luksheader.back
luksheader.back: LUKS encrypted file, ver 1 [aes, xts-plain64, sha1] UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
[email protected]:~#
Jadi, dalam kasus kami, kami ingin mengenkripsi data ini untuk penyimpanan. Ada beberapa cara yang dapat dilakukan, namun kita akan menggunakan openssl untuk mempercepat dan mempermudah proses menggunakan alat bawaan Kali.
[email protected]:~# openssl enc -aes-256-cbc -salt -in luksheader.back -out luksheader.back.enc
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:
[email protected]:~# ls -lh luksheader.back*
-r-------- 1 root root 2.0M Jan 9 13:42 luksheader.back
-rw-r--r-- 1 root root 2.0M Jan 9 15:50 luksheader.back.enc
[email protected]:~# file luksheader.back*
luksheader.back: LUKS encrypted file, ver 1 [aes, xts-plain64, sha1] UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
luksheader.back.enc: data
Bagus, sekarang kami memiliki header terenkripsi yang siap untuk dicadangkan. Dalam hal ini, kami ingin menempatkan header di suatu tempat yang mudah diakses. Ini bisa sesederhana pada USB thumb drive yang disimpan di lokasi yang aman. Pada titik ini, mari kita reboot dan gunakan tombol Nuke dan lihat bagaimana Kali merespons.
Jadi kami menggunakan kunci Nuke, dan seperti yang diharapkan kami tidak bisa lagi boot ke Kali. Mari kita lihat apa yang terjadi pada disk yang sebenarnya dengan mem-boot ke live CD Kali dan membuang header LUKS lagi.
[email protected]:~# cryptsetup luksDump /dev/sda5
LUKS header information for /dev/sda5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: 04 cd d0 51 bf 57 10 f5 87 08 07 d5 c8 2a 34 24 7a 89 3b db
MK salt: 27 42 e5 a6 b2 53 7f de 00 26 d3 f8 66 fb 9e 48
16 a2 b0 a9 2c bb cc f6 ea 66 e6 b1 79 08 69 17
MK iterations: 65750
UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
Key Slot 0: DISABLED
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Seperti yang bisa kita lihat, tidak ada slot kunci yang digunakan. Nuke bekerja seperti yang diharapkan. Untuk mengembalikan header kembali ke tempatnya, cukup mudah mengambil header terenkripsi dari drive USB Anda. Setelah kami memilikinya, kami dapat mendekripsi dan melakukan pemulihan kami:
[email protected]:~# openssl enc -d -aes-256-cbc -in luksheader.back.enc -out luksheader.back
enter aes-256-cbc decryption password:
[email protected]:~# cryptsetup luksHeaderRestore --header-backup-file luksheader.back /dev/sda5
WARNING!
========
Device /dev/sda5 already contains LUKS header. Replacing header will destroy existing keyslots.
Are you sure? (Type uppercase yes): YES
[email protected]:~# cryptsetup luksDump /dev/sda5
LUKS header information for /dev/sda5
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: 04 cd d0 51 bf 57 10 f5 87 08 07 d5 c8 2a 34 24 7a 89 3b db
MK salt: 27 42 e5 a6 b2 53 7f de 00 26 d3 f8 66 fb 9e 48
16 a2 b0 a9 2c bb cc f6 ea 66 e6 b1 79 08 69 17
MK iterations: 65750
UUID: 126d0121-05e4-4f1d-94d8-bed88e8c246d
Key Slot 0: ENABLED
Iterations: 223775
Salt: 7b ee 18 9e 46 77 60 2a f6 e2 a6 13 9f 59 0a 88
7b b2 db 84 25 98 f3 ae 61 36 3a 7d 96 08 a4 49
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Slot kami sekarang dipulihkan. Yang harus kita lakukan hanyalah mem-boot ulang dan memberikan kata sandi LUKS normal kita dan sistem kembali ke keadaan semula.