Capítulo 22. Bloqueio de dados com senha LUKS no console web RHEL

Na aba Storage do console web, você pode agora criar, bloquear, desbloquear, redimensionar e configurar dispositivos criptografados usando o formato LUKS (Linux Unified Key Setup) versão 2.

Esta nova versão da LUKS oferece:

  • Políticas mais flexíveis de desbloqueio
  • Criptografia mais forte
  • Melhor compatibilidade com mudanças futuras

Pré-requisitos

  • O console web RHEL 8 foi instalado.

    Para detalhes, consulte Instalando o console web.

  • O pacote cockpit-storaged está instalado em seu sistema.

22.1. Criptografia de disco LUKS

O Linux Unified Key Setup-on-disk-format (LUKS) permite criptografar dispositivos de bloco e fornece um conjunto de ferramentas que simplifica o gerenciamento dos dispositivos criptografados. O LUKS permite que múltiplas chaves de usuário descriptografem uma chave mestra, que é usada para a criptografia em massa da partição.

A RHEL utiliza o LUKS para realizar a criptografia do dispositivo de bloqueio. Por padrão, a opção para criptografar o dispositivo de bloco é desmarcada durante a instalação. Se você selecionar a opção para criptografar seu disco, o sistema solicita uma senha toda vez que você inicia o computador. Esta frase-chave desbloqueia a chave de criptografia em bloco que descriptografa sua partição. Se você escolher modificar a tabela de partições padrão, você pode escolher quais partições deseja criptografar. Isto é definido nas configurações da tabela de partição.

O que a LUKS faz

  • A LUKS criptografa dispositivos de bloco inteiro e, portanto, é bem adequada para proteger o conteúdo de dispositivos móveis, tais como mídias de armazenamento removíveis ou unidades de disco de laptop.
  • O conteúdo subjacente do dispositivo de bloco criptografado é arbitrário, o que o torna útil para a criptografia de dispositivos de troca. Isto também pode ser útil com certos bancos de dados que utilizam dispositivos de bloco especialmente formatados para armazenamento de dados.
  • A LUKS utiliza o subsistema de mapeamento do núcleo do dispositivo existente.
  • A LUKS fornece um reforço de senha que protege contra ataques de dicionários.
  • Os dispositivos LUKS contêm vários slots de chave, permitindo aos usuários adicionar chaves de backup ou frases-passe.

O que a LUKS faz not

  • Soluções de criptografia de disco como o LUKS protegem os dados somente quando seu sistema está desligado. Assim que o sistema estiver ligado e a LUKS descriptografar o disco, os arquivos nesse disco estarão disponíveis para qualquer pessoa que normalmente teria acesso a eles.
  • A LUKS não é adequada para cenários que exigem que muitos usuários tenham chaves de acesso distintas para o mesmo dispositivo. O formato LUKS1 fornece oito slots de chave, LUKS2 até 32 slots de chave.
  • O LUKS não é adequado para aplicações que exigem criptografia em nível de arquivo.

Cifras

A cifra padrão utilizada para LUKS é aes-xts-plain64. O tamanho padrão da chave para o LUKS é de 512 bits. O tamanho padrão da chave para LUKS com Anaconda (modo XTS) é de 512 bits. As cifras que estão disponíveis são:

  • AES - Norma Avançada de Criptografia - FIPS PUB 197
  • Dois peixes (uma cifra de bloco de 128 bits)
  • Serpente