LUKS Nuke kryptering

Efter att lekt med min tool-box ett par dagar så har jag nu börjat beta mig igenom en lång lista på saker som jag vill lära mig. En av dessa punkter är just kryptering av känslig information.

Jag valde vid installation av Kali Linux 2.0 att kryptera hela hårddisken med LUKS,  vilket innebär att vid boot så krävs ett lösenord för krypteringen innan man kommer vidare till inloggningen för Kali Linux 2.0. I samband med att ha läst på för att avgöra om kryptering av hemma-mappen räckte så snubblade jag över Nuke för LUKS krypteringen.

Vad detta innebär är kort att Du har möjlighet att ”nuka” hela din disk via ett unikt lösenord som Du anger vid boot (nämnt ovan) varpå din disk blir oanvändbar samt oåtkomlig -aka ”Bricked”. Scenarion då detta skulle kunna vara intressant är tex:

1. Din fru anar att din mapp drivers.dll inte alls innehåller drivrutiner som slutar på .mov (förekommande på min tid då US Robotics 56k modem var installerat i hemmet)

2. Du fraktar känslig data i en fysisk container (lagringsmedia), och nöjer dig ej med att enbart kryptera enheten (återkommer till detta exempel nedan)

För att ge en snabb överblick gällande hur Nuke fungerar så måste vi först förstå att när vi krypterar vår container (i detta fall hårddisken) så sparas en krypterad master-key i ett slot på mediet. Det är denna master-key som lösenorder vid boot är kopplat till.

Skulle denna master-key försvinna, så finns det helt enkelt inget sätt att avkryptera containern – om man nu inte valt att spara master-keyn krypterad på ett annat media!

Det sistnämnda gör nämligen Nuke till något ännu mer användbart – nämligen möjligheten att frakta känslig data krypterad och utan en master-key (nämnt i #2 ovan). När datan sedan är levererad kan master-key importeras och Du får tillgång till datan igen.

Detta innebär alltså att vi kan nuka vår disk med Kali Linux 2.0, och sedan återställa master-key för att återuppta arbetet.

Jag har själv min master-key sparad på ett säkert media krypterad mha openssl. Anledningen till att vi krypterar vår master-key (header) gör att även om nyckeln stjäls – så kommer ett extra lager säkerhet (krypteringen av headern) göra det minst sagt obekvämt för tjuven.

Sist men inte minst, fick mitt carbon skin till min tool-box och med Thules skydd monterat ser det väldigt kung ut! Det som saknas nu är bara ett svart beezel-skin innan allt är komplett.

Jag passade även på att beställa ett nytt batteri även då det nuvarande har många cykler på sin nacke. Jag utförde en hel del konfiguration gällande just power-management och installerade bla TLP Advanced Power Management + tillämpade rekommendationerna från Samuix blog. Den här killen är riktigt duktig på sitt arbete – jag kommer att länka till hans blogg f.o.m. detta inlägg och rekommenderar ev läsare med intresset inom säkerhet att läsa/se några av hans inlägg/guider/videos.

IMG_1313 IMG_1314