Capítulo 22. Bloqueo de datos con contraseña LUKS en la consola web de RHEL

En la pestaña Storage de la consola web, ahora puede crear, bloquear, desbloquear, cambiar el tamaño y configurar de otro modo los dispositivos encriptados utilizando el formato LUKS (Linux Unified Key Setup) versión 2.

Esta nueva versión de LUKS ofrece:

  • Políticas de desbloqueo más flexibles
  • Criptografía más fuerte
  • Mejor compatibilidad con futuros cambios

Requisitos previos

  • Se ha instalado la consola web de RHEL 8.

    Para más detalles, véase Instalación de la consola web.

  • El paquete cockpit-storaged está instalado en su sistema.

22.1. Cifrado de disco LUKS

El sistema Linux Unified Key Setup-on-disk-format (LUKS) permite cifrar dispositivos de bloque y proporciona un conjunto de herramientas que simplifica la gestión de los dispositivos cifrados. LUKS permite que varias claves de usuario descifren una clave maestra, que se utiliza para el cifrado masivo de la partición.

RHEL utiliza LUKS para realizar el cifrado del dispositivo de bloque. Por defecto, la opción de cifrar el dispositivo de bloque está desmarcada durante la instalación. Si selecciona la opción de cifrar el disco, el sistema le pedirá una frase de contraseña cada vez que arranque el ordenador. Esta frase de contraseña desbloquea la clave de cifrado masivo que descifra su partición. Si eliges modificar la tabla de particiones por defecto, puedes elegir qué particiones quieres cifrar. Esto se establece en la configuración de la tabla de particiones.

Qué hace LUKS

  • LUKS encripta dispositivos de bloques enteros y, por tanto, es muy adecuado para proteger el contenido de dispositivos móviles, como medios de almacenamiento extraíbles o unidades de disco de ordenadores portátiles.
  • El contenido subyacente del dispositivo de bloque cifrado es arbitrario, lo que lo hace útil para cifrar dispositivos de intercambio. También puede ser útil con ciertas bases de datos que utilizan dispositivos de bloque con un formato especial para el almacenamiento de datos.
  • LUKS utiliza el subsistema del kernel de mapeo de dispositivos existente.
  • LUKS proporciona un refuerzo de la frase de contraseña que protege contra los ataques de diccionario.
  • Los dispositivos LUKS contienen varias ranuras para claves, lo que permite a los usuarios añadir claves de seguridad o frases de contraseña.

Qué hace LUKS not

  • Las soluciones de cifrado de discos como LUKS protegen los datos sólo cuando el sistema está apagado. Una vez que el sistema está encendido y LUKS ha descifrado el disco, los archivos de ese disco están disponibles para cualquiera que normalmente tendría acceso a ellos.
  • LUKS no es adecuado para escenarios que requieran que muchos usuarios tengan claves de acceso distintas para el mismo dispositivo. El formato LUKS1 proporciona ocho ranuras para llaves, LUKS2 hasta 32 ranuras para llaves.
  • LUKS no es adecuado para aplicaciones que requieran encriptación a nivel de archivo.

Cifras

El cifrado por defecto utilizado para LUKS es aes-xts-plain64. El tamaño de la clave por defecto para LUKS es de 512 bits. El tamaño de la clave por defecto para LUKS con Anaconda (modo XTS) es de 512 bits. Los cifrados disponibles son:

  • AES - Estándar de cifrado avanzado - FIPS PUB 197
  • Twofish (un cifrado en bloque de 128 bits)
  • Serpent

Recursos adicionales