Criando Pendrives e HD's criptografados com Luks no Linux

A criptografia tem se tornado um Item cada vez mais importante no nosso dia a dia, e essa ferramenta tende a ser adotada cada vez mais no ambiente empresarial por conta da segurança das informações do negócio, e também é de grande importância para o pessoal. Garantir a segurança das suas informações e arquivos é parte do dia a dia de todo mundo da turma dos paranoicos de muitas pessoas que sabem o valor da informação pessoal, prevenindo a exposição de informações pessoais durante perdas de equipamentos, assaltos e etc. Já abordamos diversos métodos de criptografias de arquivos e discos aqui no blog, e dessa vez tenho uma dica bem bacana que vai levar essa segurança a seus dispositivos móveis como Pendrives e HDs externo, criando uma forte criptografia utilizando o Luks.

Primeiramente vamos apagar o conteúdo antigo da mídia removível e criar uma filesystem nova, só pra garantir que não ocorram imprevistos com Bad Blocks e formatos inválidos.  Para esse exemplo, estarei realizando a simulação com um HD externo na partição /dev/sdb.

Formatando o Dispositivo.

1. Vamos listar todos os dispositivos conectados para ter certeza de qual dispositivo iremos realizar na operação. Lembrando que uma vez realizados os processos abaixo, todos os dados do HD serão sobrescritos, então é importante ressaltar que você faça os devidos backups antes de prosseguir. Cuidado pra não utilizar por engano o HD do seu computador, as consequências serão as mesmas. 

 # sudo fdisk -l  

Confirmando o nome da partição, vamos realizar a formatação pelo fdisk.

2. Vamos tentar deletar a partição. Vamos utilizar o fdisk para tal. Basta chamar o  fdisk e passar pra ele o parâmetro "d" para realizar o delete. Em seguida vamos utilizar o parâmetro w para escrever as modificações no disco.

 # umount /dev/sdb  
 # sudo fdisk /dev/sdb  
 Command (m for help): d  
 Command (m for help): w  

Encriptando o dispositivo

Para realizar a encriptação dos dados, iremos estar fazendo uso o Luks. Para realizar a criptografia é bem simples. Vamos ter que especificar o disco, o tipo do Filesystem a ser utilizado e nossa senha. Teremos que repetir a mesma 3 vezes durante o processo. Para garantir que o disco não tenha montado automaticamente, tente desmontá-lo com o umount. Mesmo que tenha erro.

 # sudo umount /dev/sdb  
 # sudo luksformat -t ext3 /dev/sdb  

 root@fidelis:/home/matheus# luksformat -t ext3 /dev/sdb  
 Creating encrypted device on /dev/sdb...  
   
 WARNING!  
 ========  
 This will overwrite data on /dev/sdb irrevocably.  
   
 Are you sure? (Type uppercase yes): YES  
 Enter passphrase:  DIGITE A SENHA 
 Verify passphrase:   DIGITE A SENHA
 Please enter your passphrase again to verify it  
 Enter passphrase for /dev/sdb:   DIGITE A SENHA 
 mke2fs 1.43-WIP (15-Mar-2016)  
 Creating filesystem with 78142294 4k blocks and 19537920 inodes  
 Filesystem UUID: 6e099faa-bb53-4547-99ff-59c1afb3e0f8  
 Superblock backups stored on blocks:   
      32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,   
      4096000, 7962624, 11239424, 20480000, 23887872, 71663616  
   
 Allocating group tables: done                
 Writing inode tables: done                
 Creating journal (32768 blocks): done  
 Writing superblocks and filesystem accounting information: done     
  
 root@fidelis:/home/matheus#   

Tente remontar o dispositivo reconectando ele no computador. Será solicitada a senha de acesso para o novo dispositivo.

Opcional: Definir uma Label para o volume

para criar uma label de identificação no volume, basta utilizar o utilitário e2label e especificar.

 # e2label /dev/sdb Dados  

Problemas Comuns

Permissões de Leitura/Gravação

Alguns probleminhas podem ocorrer durante o processo. Primeiramente a questão de permissões. Durante a montagem você pode ficar sem permissões após a montagem. Basta dar permissão para os dispositivos da pasta /media

 # chmod 777 /media/ -R  

Problemas de formatação

Em alguns casos será necessário criar uma nova partição antes da formatação com luks. Ela pode ser criada a partir do Fdisk também. Formate dessa forma antes de prosseguir com a criptografia.

 root@fidelis:/home/matheus# fdisk /dev/sdb  
   
 Welcome to fdisk (util-linux 2.28).  
 Changes will remain in memory only, until you decide to write them.  
 Be careful before using the write command.  
   
 Device /dev/sdc already contains a crypto_LUKS signature.  
 The signature will be removed by a write command.  
 Device does not contain a recognized partition table.  
 Created a new DOS disklabel with disk identifier 0x20520844.  
   
 Command (m for help): n  (NOVA PARTIÇÃO)
 Partition type  
   p  primary (0 primary, 0 extended, 4 free)  [ENTER]
   e  extended (container for logical partitions)  [ENTER]
 Select (default p): p  [ENTER]
 Partition number (1-4, default 1):   [ENTER]
 First sector (2048-625142447, default 2048):   [ENTER]
 Last sector, +sectors or +size{K,M,G,T,P} (2048-625142447, default 625142447):   
   
 Created a new partition 1 of type 'Linux' and of size 298,1 GiB.  
   
 Command (m for help): w (WRITE) 
 The partition table has been altered.  
 Calling ioctl() to re-read partition table.  
 Syncing disks.  
   

Leia também:

• Instalação Segura do Debian 8 com LVM e Criptografia de Disco
• Encriptando arquivos com GnuPG de forma simples
• Steganografia :: Escondendo arquivos criptografados em imagens no Linux com Steghide
• Criptografando o diretório Home do usuário no Linux