Capitolo 22. Blocco dei dati con password LUKS nella console web di RHEL

Nella scheda Storage della console web, ora può creare, bloccare, sbloccare, ridimensionare e configurare in altro modo i dispositivi criptati usando il formato LUKS (Linux Unified Key Setup) versione 2.

Questa nuova versione di LUKS offre:

  • Politiche di sblocco più flessibili
  • Crittografia più forte
  • Migliore compatibilità con i cambiamenti futuri

Prerequisiti

  • La console web di RHEL 8 è stata installata.

    Per dettagli, veda Installare la console web.

  • Il pacchetto cockpit-storaged è installato sul suo sistema.

22.1. Crittografia del disco LUKS

Linux Unified Key Setup-on-disk-format (LUKS) permette di criptare dispositivi a blocchi e fornisce un set di strumenti che semplificano la gestione dei dispositivi crittografati. LUKS permette a più chiavi utente di decifrare una chiave master, che viene usata per la crittografia di massa della partizione.

RHEL utilizza LUKS per eseguire la crittografia del dispositivo a blocchi. Per impostazione predefinita, l'opzione per criptare il dispositivo a blocchi è deselezionata durante l'installazione. Se seleziona l'opzione per criptare il disco, il sistema le chiede una passphrase ogni volta che avvia il computer. Questa passphrase «sblocca» la chiave di crittografia di massa che decripta la sua partizione. Se sceglie di modificare la tabella delle partizioni predefinita, può scegliere quali partizioni criptare. Questo viene impostato nelle impostazioni della tabella delle partizioni.

Cosa fa LUKS

  • LUKS cripta interi dispositivi a blocchi ed è quindi adatto a proteggere il contenuto di dispositivi mobili come supporti di archiviazione rimovibili o unità disco del portatile.
  • Il contenuto sottostante del dispositivo a blocchi crittografato è arbitrario, il che lo rende utile per crittografare dispositivi di swap. Può essere utile anche con alcuni database che usano dispositivi a blocchi appositamente formattati per l'archiviazione dei dati.
  • LUKS usa il sottosistema kernel mapper di dispositivi esistente.
  • LUKS fornisce un rafforzamento della passphrase che protegge dagli attacchi a dizionario.
  • I dispositivi LUKS contengono più slot per chiavi, permettendo agli utenti di aggiungere chiavi o frasi di sicurezza.

Cosa fa LUKS not

  • Le soluzioni di cifratura del disco come LUKS proteggono i dati solo quando il sistema è spento. Una volta che il sistema è acceso e LUKS ha decifrato il disco, i file su quel disco sono disponibili a chiunque vi abbia normalmente accesso.
  • LUKS non è adatto a scenari che richiedono che molti utenti abbiano chiavi di accesso distinte allo stesso dispositivo. Il formato LUKS1 fornisce otto slot per chiavi, LUKS2 fino a 32 slot per chiavi.
  • LUKS non è adatto ad applicazioni che richiedono la crittografia a livello di file.

Cifre

Il cifrario predefinito usato per LUKS è aes-xts-plain64. La dimensione predefinita della chiave per LUKS è di 512 bit. La dimensione predefinita della chiave per LUKS con Anaconda (modalità XTS) è 512 bit. I cifrari disponibili sono:

  • AES - Advanced Encryption Standard - FIPS PUB 197
  • Twofish (un cifratore a blocchi di 128 bit)
  • Serpente

Risorse aggiuntive