Capítulo 22. Bloqueio de dados com senha LUKS no console web RHEL
Na aba Storage do console web, você pode agora criar, bloquear, desbloquear, redimensionar e configurar dispositivos criptografados usando o formato LUKS (Linux Unified Key Setup) versão 2.
Esta nova versão da LUKS oferece:
- Políticas mais flexíveis de desbloqueio
- Criptografia mais forte
- Melhor compatibilidade com mudanças futuras
Pré-requisitos
O console web RHEL 8 foi instalado.
Para detalhes, consulte Instalando o console web.
-
O pacote
cockpit-storaged
está instalado em seu sistema.
22.1. Criptografia de disco LUKS
O Linux Unified Key Setup-on-disk-format (LUKS) permite criptografar dispositivos de bloco e fornece um conjunto de ferramentas que simplifica o gerenciamento dos dispositivos criptografados. O LUKS permite que múltiplas chaves de usuário descriptografem uma chave mestra, que é usada para a criptografia em massa da partição.
A RHEL utiliza o LUKS para realizar a criptografia do dispositivo de bloqueio. Por padrão, a opção para criptografar o dispositivo de bloco é desmarcada durante a instalação. Se você selecionar a opção para criptografar seu disco, o sistema solicita uma senha toda vez que você inicia o computador. Esta frase-chave “desbloqueia” a chave de criptografia em bloco que descriptografa sua partição. Se você escolher modificar a tabela de partições padrão, você pode escolher quais partições deseja criptografar. Isto é definido nas configurações da tabela de partição.
O que a LUKS faz
- A LUKS criptografa dispositivos de bloco inteiro e, portanto, é bem adequada para proteger o conteúdo de dispositivos móveis, tais como mídias de armazenamento removíveis ou unidades de disco de laptop.
- O conteúdo subjacente do dispositivo de bloco criptografado é arbitrário, o que o torna útil para a criptografia de dispositivos de troca. Isto também pode ser útil com certos bancos de dados que utilizam dispositivos de bloco especialmente formatados para armazenamento de dados.
- A LUKS utiliza o subsistema de mapeamento do núcleo do dispositivo existente.
- A LUKS fornece um reforço de senha que protege contra ataques de dicionários.
- Os dispositivos LUKS contêm vários slots de chave, permitindo aos usuários adicionar chaves de backup ou frases-passe.
O que a LUKS faz not
- Soluções de criptografia de disco como o LUKS protegem os dados somente quando seu sistema está desligado. Assim que o sistema estiver ligado e a LUKS descriptografar o disco, os arquivos nesse disco estarão disponíveis para qualquer pessoa que normalmente teria acesso a eles.
- A LUKS não é adequada para cenários que exigem que muitos usuários tenham chaves de acesso distintas para o mesmo dispositivo. O formato LUKS1 fornece oito slots de chave, LUKS2 até 32 slots de chave.
- O LUKS não é adequado para aplicações que exigem criptografia em nível de arquivo.
Cifras
A cifra padrão utilizada para LUKS é aes-xts-plain64
. O tamanho padrão da chave para o LUKS é de 512 bits. O tamanho padrão da chave para LUKS com Anaconda (modo XTS) é de 512 bits. As cifras que estão disponíveis são:
- AES - Norma Avançada de Criptografia - FIPS PUB 197
- Dois peixes (uma cifra de bloco de 128 bits)
- Serpente
Recursos adicionais