GNU/Linux >> Tutoriales Linux >  >> Linux

Autodestrucción de emergencia de LUKS en Kali

Kali Linux Full Disk Encryption

Como probadores de penetración, a menudo necesitamos viajar con datos confidenciales almacenados en nuestras computadoras portátiles. Por supuesto, usamos el cifrado de disco completo siempre que sea posible, incluidas nuestras máquinas Kali Linux, que tienden a contener los materiales más confidenciales.

Configurar el cifrado de disco completo con Kali es un proceso simple. El instalador de Kali incluye un proceso sencillo para configurar particiones cifradas con LVM y LUKS. Una vez cifrado, el sistema operativo Kali requiere una contraseña en el momento del arranque para permitir que el sistema operativo arranque y descifre su disco, protegiendo así estos datos en caso de robo de su computadora portátil. La gestión de las claves de descifrado y las particiones se realiza mediante la utilidad cryptsetup.

Nuking nuestra instalación Kali Linux FDE

Hace un par de días, uno de nosotros tuvo la idea de agregar una opción "nuclear" a nuestra instalación de Kali. En otras palabras, tener una contraseña de arranque que destruiría, en lugar de descifrar, los datos de nuestro disco. Unas pocas búsquedas en Google más tarde, encontramos un antiguo parche de cryptsetup de Juergen Pabel que hace exactamente eso, agregando una contraseña "nuke" a cryptsetup, que cuando se usa, elimina todas las ranuras de claves y hace que los datos en el disco sean inaccesibles. Portamos este parche para una versión reciente de cryptsetup y lo publicamos en Github.

Probando el parche LUKS Nuke

Esta función aún no está implementada en Kali, ya que queríamos recopilar algunos comentarios de los usuarios antes de aplicar este parche a las imágenes base. Si desea probarlo usted mismo, estas son las instrucciones de construcción. Comience ejecutando una instalación cifrada de LVM en Kali y establezca una contraseña de descifrado. Una vez hecho esto, descargue la fuente del paquete cryptsetup y aplique nuestro parche. Proceda a compilar el paquete parcheado de la siguiente manera:

[email protected]:~# apt-get source cryptsetup
[email protected]:~# git clone https://gitlab.com/kalilinux/packages/cryptsetup-nuke-keys
[email protected]:~# cd cryptsetup-1.6.1/
[email protected]:~/cryptsetup-1.6.1# patch -p1 < ../cryptsetup-nuke-keys/cryptsetup_1.6.1+nuke_keys.diff
patching file lib/libcryptsetup.h
patching file lib/luks1/keymanage.c
patching file lib/setup.c
patching file src/cryptsetup.c
[email protected]:~/cryptsetup-1.6.1# dpkg-buildpackage -b -uc

Una vez que se haya compilado el paquete, instale los paquetes cryptsetup para obtener nuestro nuke opción implementada:

[email protected]:~/cryptsetup-1.6.1# ls -l ../*crypt*.deb
-rw-r--r-- 1 root root 149430 Jan 4 21:34 ../cryptsetup_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 250616 Jan 4 21:34 ../cryptsetup-bin_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 105226 Jan 4 21:34 ../libcryptsetup4_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 49580 Jan 4 21:34 ../libcryptsetup-dev_1.6.1-1kali0_amd64.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../libcryptsetup*.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../cryptsetup*.deb

Ahora que nuestro paquete parcheado de cryptsetup ha sido instalado, podemos continuar y agregar una clave "nuclear" a nuestra configuración:

[email protected]:~# cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: (existing passphrase)
Enter new passphrase for key slot: (nuke passphrase)

Hola amigo, ¿dónde está mi disco?

En cualquier reinicio posterior, se le pedirá la contraseña de descifrado de LUKS cada vez como de costumbre. Si, por alguna razón, ingresara la contraseña nuclear, las claves guardadas se eliminarían y los datos serían inaccesibles. ¿Deberíamos implementar este parche en el paquete cryptsetup? Háganos saber lo que piensa a través de esta encuesta rápida. Mantendremos esta encuesta abierta durante un par de semanas y lo mantendremos informado sobre cualquier desarrollo adicional de esta función.

Cryptseup Nuke Option in Kali

Add nuke features to cryptsetup ?*

- [ ] Yes, add this feature!
- [ ] Stop bothering me
- [ ] No, leave cryptsetup alone.

Actualización: El parche nuclear se introdujo en Kali Linux y está disponible de forma predeterminada en Kali Linux v1.0.6.

Actualización: Hemos publicado un caso de uso de ejemplo para la función Nuke en una publicación de blog posterior "Cómo bombardear su instalación cifrada de Kali Linux".

Actualización: A partir de julio de 2019, Kali Linux ya no envía este parche de cryptsetup; en su lugar, presentamos un paquete cryptsetup-nuke-password que proporciona una función similar sin modificar cryptsetup.

[email protected]:~# apt install cryptsetup-nuke-password
[email protected]:~# dpkg-reconfigure cryptsetup-nuke-password

Linux

  1. Consola de emergencia del servidor en la nube

  2. 10 ejemplos de cryptsetup de Linux para la administración de claves LUKS (cómo agregar, eliminar, cambiar y restablecer la clave de cifrado LUKS)

  3. Temas de la comunidad de Kali

  4. WireGuard en Kali

  5. Frambuesa Pi 4 y Kali

Endurecimiento de Kali Linux

Cómo instalar Kali Linux

Descargar KaliLinux

Requisitos del sistema Linux Kali

Kali Linux contra Parrot

¿Cómo eliminar el cifrado LUKS?