Buongiorno a tutti, è la prima volta che scrivo sul sito, quindi mi scuso in anticipo per eventuali errori e/o omissioni
Allora, il mio problema è questo: seguendo un articolo sul vecchio sito (questo: http://www.megalab.it/8283/2/criptiamo- ... romettenti) stavo cercando di creare un'iso criptata. FIno alla creazione non ci sono problemi, a parte la mancata installazione del pacchetto loop-aes-utils, che non trova, ma quando arrivo al montaggio mi dà questo errore, prima ancora di chiedere la password: . Uso Ubuntu 14.10, l'ultima versione.
Qualcuno può aiutarmi?
Grazie mille in anticipo!
ahhhhhh ecco perchè! Comunque, ho installato cryptmount, ma non riesco a capire l'opzione per riuscire a montarla!
Ho provato con un cryptmount -m ~/ubuntu.iso, ma non va, mi dice "Target name "/home/davide/ubuntu.iso" is not recognized"
D:
luigirooss ha scritto:a parte la mancata installazione del pacchetto loop-aes-utils
quel pacchetto è stato rimosso nelle distribuzioni più recenti e senza non ti è possibile leggere l'immagine criptata, almeno secondo la guida
Io facendo una piccola ricerca con synaptic ho trovato aespipe, la cui descrizione quoto:
strumento per la cifratura AES con supporto per loop-AES
aespipe è uno strumento che scrive su standard output una versione cifrata
di ciò che legge da standard input. Usa l'algoritmo AES (Rijndael).
aespipe può essere usato per cifrare sul posto senza perdita di dati una
partizione esistente per poi usarla con il modulo kernel che realizza il
loopback cifrato loop-AES.
Inoltre può essere usato come filtro, per creare e ripristinare archivi di
backup tar/cpio cifrati e per leggere, scrivere e convertire immagini di
dischi cifrate in modo compatibile con loop-AES.
Si noti che aespipe non memorizza la lunghezza di nessuna informazione
all'interno delle immagini cifrate, non può perciò essere utilizzato come
filtro di cifratura generico ma solo per certi formati come tar.
P.S.: Provare se funziona dopo averlo installato non nuoce...
sudo mount -o loop=/dev/loop0,encryption=aes256 ~/ubuntu.iso /media/iso
P.S.: Naturalmente il file /dev/loop0 deve esistere e non deve essere già utilizzato, con ls -l /dev/loop* dovresti vedere l'elenco dei file loop disponibili sul tuo sistema.
Allora, il comando è andato a buon fine, e ho un file "decrypt.iso" nella home. Ho provato ad aprirlo con monta archivi ma non lo apre (forse per lentezza del mio pc). Allora ho provato a montarlo con il comando mount:
Tomb invece, perdona l'ignoranza ahaha, da dove si scarica? sul software center non c'è (ho cercato "tomb" con synaptic), su un sito che ho trovato (https://www.dyne.org/software/tomb/) non ho capito da dove si scarica D: Potresti dirmi come installarlo e i comandi da usare? Grazie mille!
luigirooss ha scritto:
Tomb invece, perdona l'ignoranza ahaha, da dove si scarica? sul software center non c'è (ho cercato "tomb" con synaptic), su un sito che ho trovato (https://www.dyne.org/software/tomb/) non ho capito da dove si scarica D: Potresti dirmi come installarlo e i comandi da usare? Grazie mille!
Prima di procedere all'installazione come indicato nella documentazione ti consiglio d'installare tutte le dipendenze necessarie (e quelle opzionali) al funzionamento di Tomb:
Allora per quanto riguarda aespipe, il problema è sempre lo stesso -.-
Invece tomb funziona! Ho installato anche i pacchetti opzionali, tranne resizefs che non trova. Vorrei solo sapere tre curiosità (se possibile):la prima è perchè mi dice che non è abbastanza sicuro se c'è la swap attiva (ho superato comunque tutto con il flag force), la seconda è se è regolare che mi chieda la password di root per aprire il tomb.
Penso comunque che da ora in poi userò tomb. Grazie mille a tutti quelli che mi hanno aiutato ))
luigirooss ha scritto:Invece tomb funziona! Ho installato anche i pacchetti opzionali, tranne resizefs che non trova.
Avevo riportato male il nome del pacchetto (resize2fs) contenuto in e2fsprogs (installato di default su Ubuntu).
luigirooss ha scritto:Vorrei solo sapere tre curiosità (se possibile):la prima è perchè mi dice che non è abbastanza sicuro se c'è la swap attiva (ho superato comunque tutto con il flag force)
L'avviso è giustamente mostrato perché qualsiasi sistema di cifratura parziale^1 di dati è insicuro se utilizzato su di un sistema operativo che si avvale di SWAP. Per comprenderne i rischi è necessario prima aver chiare alcune nozioni di base correlate.
Di seguito riporterò una breve spiegazione particolarmente semplificata per renderla più comprensibile (formalmente potrebbe non essere completa / esatta).
Spiegazione semplicistica:
Premesse:
Ogni computer dispone di un dato quantitativo di RAM fisica (la dimensione stampata sui banchi installati nel computer).
I sistemi operativi moderni caricano in RAMapplicazioni, porzioni del filesystem e dati generici: è quindi facilmente comprensibile come quest'ultima possa esaurirsi velocemente.
In caso di esaurimento completo della RAM, un sistema operativo semplice, terminerebbe immediatamente se stesso (o cesserebbe di funzionare correttamente).
I sistemi operativi recenti adottano varie tecniche che consentono di liberarne le porzioni occupate da processi in background di scarsa importanza (terminandoli) o più generalmente di ridurne il consumo in vari modi: uno di questi è reso possibile sfruttando lo SWAP.
Lo SWAP è una porzione di memoria riservata, immagazzinata su supporti di archiviazione persistenti (come un hard disk).
Lo SWAPè utilizzato dal sistema operativo per memorizzare, temporaneamente, alcune informazioni che in situazioni normali risiederebbero nella RAM.
La maggior parte dei software di cifratura che utilizza volumi o contenitori, dopo che l'utente abbia "sbloccato" un container tramite password, per permetterne a quest'ultimo un accesso durevole senza noie (evitando di richiedere ogni volta le credenziali), memorizzano la password "in chiaro" nella RAM.
I rischi:
In presenza di SWAP, vi è il rischio che la password "in chiaro" o porzioni di dati non cifrate contenute nel container, siano scritte nello SWAPpiuttosto che nella RAM.
Il rischio delineato precedentemente potrebbe sembrare circoscritto a situazione in cui, rispetto all'impiego effettivo della macchina, vi è una scarsa disponibilità di RAM fisica; In realtà molti sistemi operativi moderni adoperano lo SWAP anche in situazioni diverse da quelle di penuria di RAM: ad esempio il Kernel Linux (so che non è un sistema operativo) utilizza lo SWAP anche come cache per il filesystem (per velocizzarne le operazioni e gli accessi).
Alcune informazioni riguardo a questo tema sono riportate, in forma ancora più semplificata, nel manuale di Tomb:
Tomb ha scritto:SWAP:
On execution of certain commands Tomb will complain about swap memory on disk when that is presend
and abort if your system has swap activated. You can disable this behaviour using the --force. Before doing
that, however, you may be interested in knowing the risks of doing so:
During such operations a lack of available memory could cause the swap to write your secret key
on the disk.
Even while using an opened tomb, another application could occupy too much memory so that the
swap needs to be used, this way it is possible that some contents of files contained into the tomb
are physically written on your disk, not encrypted.
If you don’t need swap, execute swapoff -a. If you really need it, you could make an encrypted swap parti-
tion. Tomb doesn’t detect if your swap is encrypted, and will complain anyway.
luigirooss ha scritto:la seconda è se è regolare che mi chieda la password di root per aprire il tomb.
E' normale: i privilegi sono necessari per svolgere alcune operazioni (come riportato nel manuale del software):
Tomb ha scritto:Lock:
Initializes and locks an empty tomb (made with dig) using a key (made with forge), making it
ready for usage. After this operation, the tomb can only be open in possession of the key and
knowing its password. As in any other command requiring a key, the option -k should be used to
specify a key file. The -o option can be used to specify the cipher specification: default is "aes-xts-
plain64:sha256", old versions of Tomb used "aes-cbc-essiv:sha256". This operation requires root
privileges to loopback mount, format the tomb (using LUKS and Ext4), then set the key in its first
LUKS slot.
luigirooss ha scritto:Grazie mille a tutti quelli che mi hanno aiutato ))
Ah, quali sarebbero i comandi da terminale? E poi si può, come dire, "tornare indietro", e decriptarla, renderla ancora in chiaro, come prima?
Grazie ancora per la disponibilità
La swap viene gestita in modo "grezzo" dal kernel Linux, ovvero non viene creato un vero e proprio file system, vi vengono spostati blocchi di dati e in RAM viene mantenuta una tabella che indica al kernel cosa e dove è stato scritto nella swap.
Esattamente come la RAM viene "cancellata al riavvio", almeno dal punto di vista logico, il contenuto della swap viene ignorato e si considera libera dopo un riavvio, eccezione fatta quando si utilizza la funzione di ibernazione, ovvero quando tutta la RAM viene scaricata su swap e il sistema spento, al riavvio il kernel ricarica l'intero contenuto della RAM e recupera lo stato del sistema, quindi riprende l'attività dal punto in cui l'aveva interrotta prima di entrare in ibernazione.
Il problema nasce proprio se si utilizza questa funzionalità, l'ibernazione, quando la swap è criptata... ovvero il sistema non ha modo di recuperare la chiave di cifratura e ne consegue che non riuscirà a ripartire dal punto in cui era stato "interrotto", ma si riavvierà "normalmente", come se fosse stato spento a causa di un blackout.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.