Category: Cryptography

The act or art of writing in code or secret characters.

Linux CryptoAPI

Linux CryptoAPI

Semplice guida all’utilizzo di filesystem cifrati.

Prima di tutto ammetto le mie colpe, questo semplice testo non ha nessuna ambizione teorica, e’ composto semplicemente da una serie di appunti su cose apprese in rete compilata perche’ potesse risultare d’aiuto a chi avesse voluto realizzare una partizione cifrata con GNU/Linux senza doversi sbattere troppo.

Non era infatti un pilastro dell’etica hacker fare in modo che non si dovesse ogni volta reinventare la ruota ? 🙂

[ Perche’ ? ]

Perche’ utilizzare una partizione cifrata ?
Perche’ farsi questa domanda ?
Sono cose a cui non sono io a dover rispondere.
Quando ho scelto di avere una partizione cifrata avevo semplicemente intenzione di custodire i dati degli utenti dentro la “home” in maniera piu’ sicura.
Ognuno degli interessati avra’ sicuramente il suo buon motivo.

[ Kernel ]

Cominciamo col dire che in base ad alcuni accordi internazionali la crittografia pesante e’ considerata una pericolosa arma, uno strumento
prettamente militare, e quindi ci sono stati che ne proibiscono l’esportazione.
Per questi motivi il supporto crittografico non e’ integrato nel kernel ma bisogna installare una patch non ufficiale, rintracciabile attraverso
il sito www.kerneli.org.
Inizialmente questa era denominata patch di internazionalizzazione del kernel, ma adesso, anche se il nome del file e’ ancora lo stesso, il
progetto ha preso il nome di “GNU/Linux CryptoAPI Project”.
Sul mio computer e con il kernel 2.4.20 senza modifiche, ho dovuto applicare in sequenza queste 2 patch:

[tritticho][/usr/src/linux]# patch -p1 < patch-int-2.4.20.1
[tritticho][/usr/src/linux]# patch -p1 < loop-jari-2.4.20.0.patch

La prima e’ per il supporto delle cryptoapi e dei cifrari, la seconda una patch per i loopback device che permette di non dover attivare degli hack non troppo stabili per far funzionare il tutto.
Patchato il kernel si deve far partire il tool di configurazione dello stesso, che sia a linea di comando o con interfaccie varie non cambia molto, e abilitare alcune cose:

Block devices —>
< *> Loopback device support

Cryptography support (CryptoAPI) —>
< *> CryptoAPI support
[*] Cipher Algorithms
< *> AES (aka Rijndael) cipher
[*] Crypto Devices
< *> Loop Crypto support

Naturalmente questa e’ la scelta che io ho adottato, gli algoritmi di cifratura supportati sono molti e sta’ a voi scegliere quello che preferite.
Da notare l’assenza di moduli (sempre una scelta personale) fatta per avere la crittografia subito al boot e il supporto per i loop device che poi spieghero’ meglio.
Diamo una bella ricompilata al kernel e torniamo alla luce con la nostra nuova creatura.

[ E adesso ? ]

Spiego un attimo perche’ abbiamo inserito il supporto per i loop device…
Astrazione!
Si’, e’ come se applicassimo un filtro tra il device fisico e la rappresentazione che ne abbiamo dentro la struttura del filesystem.
Sarebbe risultato sicuramente piu’ complesso modificare i driver di tutti i device e dei filesystem per inserire le funzionalita’ di cifratura e
decifratura, e dove non piu’ complesso sicuramente noioso 🙂
Semplicemente quello che facciamo e’ questo: montiamo la partizione che ci interessa su un loop device e questo in una directory del filesystem in modo che tutti i comandi del kernel passino attraverso il nostro loop device che avra’ il supporto crittografico e si occupera’ di cifrare e decifrare le informazioni in transito.
Oltre ai nostri dati saranno infatti cifrate anche le informazioni relative al filesystem stesso; inoltre grazie ai loop device abbiamo la possibilita’ di creare dei filesystem cifrati “virtuali” dove immagazzinare informazioni o creare immagini cifrate per da scrivere su cd, floppy, penne usb et similia.

Cominciamo creando un piccolo file pieno di “immondizia” 🙂

[tritticho][~]#dd if=/dev/urandom of=prova bs=1M count=20
20+0 records in
20+0 records out
[tritticho][~]#

Abbiamo utilizzato /dev/urandom come consigliato anche sulla documentazione ufficiale solo per avere un margine maggiore di PARANOIA 😉
Adesso associamo uno dei nostri loop device (scegliamo loop0) al file che abbiamo appena creato:

[tritticho][~]# losetup /dev/loop0 prova -e aes
Available keysizes (bits): 128 192 256
Keysize: 128
Password :
[tritticho][~]#

Diamo una formattata al tutto…

[tritticho][~]# mke2fs /dev/loop0
mke2fs 1.27 (8-Mar-2002)
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
5136 inodes, 20480 blocks
1024 blocks (5.00%) reserved for the super user
First data block=1
3 block groups
8192 blocks per group, 8192 fragments per group
1712 inodes per group
Superblock backups stored on blocks:
8193

Writing inode tables: done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 21 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
[tritticho][~]#

Fatto, montiamo il file “prova” che abbiamo creato e siamo a cavallo 🙂

[tritticho][~]# mount -o loop /dev/loop0 /mnt/ -t ext2
[tritticho][~]# cd /mnt/
[tritticho][/mnt]# ls
. .. lost+found
[tritticho][~]#

Possiamo utilizzare il file come un qualsiasi device, una volta smontato il contenuto non sara’ accessibile a chi non conosce la passphrase che abbiamo fornito al primo losetup.
Per rimontare il file una volta smontato:

[tritticho][~]# mount -o loop,encryption=aes prova /mnt/ -t ext2

[ Device fisici ]

E se invece di un device immaginario come un file volessimo cifrare un’intera partizione, ad esempio /home ?
Il procedimento e’ lo stesso, basta sostituire una partizione, ad esempio /dev/hda4, dove prima scrivevamo “prova”.
Se poi vogliamo che la partizione venga montata all’avvio dovremo fornire la passphrase, altrimenti il boot andra’ lo stesso a buon fine ma gli utenti non avranno una casa 🙂
Aggiungiamo dentro /etc/fstab una riga:

/dev/hda4 /home ext3 defaults,loop,encryption=aes 0 2

Naturalmente una volta smontata la /home solo root potra’ rimontarla.
E se volessimo scrivere una traccia cifrata su un cd ?
Il procedimento e’ semplice, creiamo il nostro file con riempiendolo con /dev/urandom (naturalmente senza andare oltre la capacita’ di un cd), usiamo losetup come precedentemente indicato, al momento della formattazione passiamo un’opzione ulteriore, cioe’:

mke2fs /dev/loopX -b 2048

La X e’ il numero del loop device associato naturalmente 🙂

[ Conclusioni ]

Bhe, che dire ?
Naturalmente niente.
E’ questo il momento di sperimentare, non di parlare 🙂

Introduzione spicciola alla crittografia

Introduzione spicciola alla crittografia

Semplicissima introduzione, scritta insieme a RageMan, alla crittografia.

[ 1.0 Introduzione ]

Se la crittografia sara’ fuorilegge, solo i fuorilegge avranno la crittografia.
(Newt Gingrich)

[ 1.1 Terminologia ]

Prima di dare una definizione iniziale e approssimativa della crittografia e’ necessario fare alcune precisazioni sui termini propri di questa
disciplina.
Il testo o l’informazione che si vuole cifrare e’ detto messaggio in chiaro mentre il testo dopo l’operazione di cifratura e’ detto crittogramma.
Affinche’ si passi dal messaggio in chiaro al messaggio cifrato occore un sistema che sia capace di trasformare il primo nel secondo.
Questo sistema viene comunemente detto cifrario.

Possiamo quindi definire la crittografia come la scienza che si occupa di proteggere delle informazioni rendendole incomprensibili a chiunque non possa renderle di nuovo comprensibili mediante il cifrario.

[ 1.2 Crittografia a chiavi ]

Quando la crittografia veniva utilizzata esclusivamente dai militari o dalle agenzie governative, il sistema appena descritto

( messaggio in chiaro -> [cifrario] -> crittogramma )

bastava a garantire la segretezza del messaggio.
In pratica ogni agenzia utilizzava un proprio cifrario e la segretezza di quest’ultimo era fondamentale.

Per poter decifrare il crittogramma, bastava quindi la semplice conoscenza del cifrario.

Nella crittografia moderna al concetto di cifrario e’ stato aggiunto un parametro variabile detto “chiave”.
In pratica lo stesso cifrario puo’ produrre crittogrammi diversi in base a chiavi diverse. Con questo sistema quindi, non e’ piu’ necessario che il cifrario sia segreto poiche’ la segretezza del crittogramma dipende esclusivamente dalla segretezza della chiave.
Si potrebbe pensare che non cambi poi molto, dalla segretezza del cifrario come base del sistema si passa alla segretezza della chiave; in realta’ passando a questo sistema viene resa piu’ piccola la parte da tenere segreta, e, essendo la sicurezza data sempre per margini, il margine di sicurezza aumenta sensibilmente.

Esistono due tipi di applicazione della crittografia a chiavi: quella a chiave simmetrica e quella a chiave asimmetrica.
La differenza sostanziale tra le due applicazioni sta nel fatto che nella prima si utilizza la stessa chiave sia per l’operazione di cifratura che per quella di decifratura, mentre nella seconda si utilizzano due chiavi diverse per le operazioni di cifratura e decifratura.

Nella crittografia a chiave simmetrica sorge il problema dello scambio delle chiavi, poiche’ per cifrare un messaggio il mittente avra’ bisogno della chiave del destinatario, che in qualche modo dovra’ fornirgliela.
Durante questo scambio di chiavi un terzo soggetto potrebbe frapporsi fra il mittente ed il destinatario e venire a conoscenza di questa chiave.

Nella crittografia a chiave asimmetrica questo problema non e’ presente poiche’ la chiave usata per cifrare, che prende nome di chiave pubblica, e’ diversa dalla chiave usata per decifrare, che prende il nome di chiave privata.

[ 1.3 Software per la crittografia ]

Queste astrazioni teoriche sono state concretizzate per il grande pubblico con un software chiamato PGP (Pretty Good Privacy) sviluppato da Phil Zimmermann a partire dal 1991.
Durante i primi anni della sua diffusione, questo software era freeware ed i suoi sorgenti erano disponibili, cio vuol dire che chiunque avesse la capacita’ di comprendere il codice, poteva verificare che questo fosse libero da backdoor, e per un software che tutela la privacy questo e’ un requisito fondamentale.
Quest’ultimo requisito manca a questo software dalla versione 6.5.8 alla 8, e per ovviare a questo problema e’ nato un progetto il cui obiettivo e’ quello di creare un software open source compatibile con le specifiche OpenPGP.
Questo software prende il nome di GPG (Gnu Privacy Guard).
Questo progetto ha ricevuto sovvenzioni da parte del governo tedesco che dopo aver esaminato le relazioni delle commissioni d’inchiesta europee su echelon, ha sentito la necessita’ di avere un software sicuro per la crittografia a chiave asimmetrica ad utilizzo di privati ed imprese.

Crittografia: why?

Crittografia: why?

“Voglio una tenda, non voglio che i vicini mi guardino mentre mi spoglio.“

Tutto potrebbe cominciare cosi`, con una frase detta un bel giorno da qualcuno in una qualche casa.
Uno compra una tenda e la monta, cosi` puo` mantenere la comodita` di avere una luce naturale e unire a cio` la tranquillita` di non essere spiato.
Prassi comune.
Tutti troverebbero legittima una tale pretesa, ognuno ha diritto alla propria intimita`.

Eppure non e` cosi` semplice…

Ci sono cose piu` intime, piu` segrete, piu` preziose di quanto non lo sia il proprio corpo.
C`e` tutto quello che dentro al corpo risiede, tutto quello che attraversa la mente, ci sono le sensazioni e i sentimenti, la comunicazione con se stessi e con gli altri: il nostro universo informazionale.
Pochi comunque pensano al fatto che nella vita di tutti i giorni siamo osservati e ascoltati, spiati da qualcuno, o da qualcosa.
Pochi sono consapevoli di essere protagonisti del film della propria vita ripreso da un anonimo regista.

Sono nella mia stanza, con la tenda tirata, eppure qualcuno potrebbe ascoltarmi o vedermi…. non sono piu` solo.

Paranoia: una patologia che affligge sempre piu` persone o una barriera di protezione che si frappone fra noi ed il mondo che ci circonda ?

Neanche questa volta la risposta e` cosi` semplice.

La riservatezza, l`intimita`, la privacy, sono beni importanti che acquistano sempre piu` valore per il nostro essere parte di un mondo globalizzato che ci osserva e che produce mediante questa costante osservazione.
Certo non vogliamo qui giustificare il tentativo di assimilare tali valori a valori di scambio, non vogliamo farlo perche` significherebbe giustificare o perfino avvalorare una visione mercificata del mondo e della vita.
Stiamo solo tentando di porre l`accento sul fatto che, se un mercato della riservatezza esiste, allora non siamo soltanto dei dannati paranoici.
Se tutto questo fosse un sogno saremmo contenti di poterci risvegliare e dimenticare le nostre vicissitudini oniriche.
Ma aprendo gli occhi veniamo a scontrarci col fatto che la realta` non e` cosi` diversa da quello che gli altri chiamano sogno.

Pensiamo, esemplificando, al fatto che gestire cio` che della propria vita e` lecito sapere e cio` che non lo e` e` il fattore che tiene in vita il meccanismo della celebrita`.
O, ancor meglio, pensiamo ai sondaggi, alle tecnologie d`indagine, alle imprese che, per se stesse o per altri, captano le sensazioni e i gusti della moltitudine.
Chiamereste tutto questo semplicemente “marketing“ ?
No, qui c`e` qualcosa di piu` sottile e persuasivo e, molto spesso, non autorizzato; qualcosa che va oltre la soglia della percezione comune e che arriva ad insinuarsi nelle nostre menti….

Le telecamere invadono le strade, le piazze, i mezzi di trasporto; ormai sono in piu` posti di quanti sia possibile immaginarne, e molte volte non ce ne rendiamo nemmeno conto.
Credete di essere immuni di fronte a queste tecnologie ?
Credete che la vostra immagine sia solo un fotogramma di passaggio ?
Assistiamo ad un processo di miniaturizzazione estrema della tecnologia, leggiamo di societa` che vendono apparecchiature per il tecnocontrollo…
Pensate che questi siano solo “giochini“ per i fantomatici “curiosi“ di turno ?
O al peggio per qualche “maniaco“ ?
Oramai conosciamo bene Echelon, sappiamo quanto sia potente e cosa rappresenti.

Il passamontagna non e` piu` sufficiente.

Ormai staccare la batteria del telefono cellulare quando si tengono conversazioni sensibili non e` una stravaganza, e` la prassi.
Quanta, infatti, della nostra comunicazione passa per canali tecnicamente controllabili ?
Tanta.
Satelliti, cavi, onde elettromagnetiche, quale tra questi canali pensate che non possa essere controllato ?

Direte che abbiamo ancora la nostra mente, che non e` ancora possibile sondare il pensiero.
Ma il pensiero non risiede soltanto nelle nostre teste, il pensiero si materializza.
Continuamente il pensiero viene materializzato per essere comunicato, annotato, trascritto.
Si e` accesa in voi una lampadina ?
Sentiamo sempre piu` sulla nostra pelle che anche cio` che pensiamo puo` essere posto sotto controllo.

Ma allora, a cosa ci serve quella tenda che abbiamo montato all`inizio ?

A darci un segnale.
Siamo controllati, sappiamo di non essere liberi; quella tenda ci segnala che e` giunto il momento che qualcosa cambi.
Siamo ormai stufi di essere spiati sempre e comunque, siamo stufi di una privacy che non esiste.

La condivisione delle informazioni e` il nostro punto di partenza e tale rimarra`.
Ci siamo battuti per i nostri diritti e continueremo a farlo fino a che il nostro obiettivo non sara` raggiunto.
Agevoleremo il prender piede delle innovazioni tecnologiche, ma non avremo pieta` contro chi pensa di utilizzare queste stesse tecnologie contro di noi, non saremo clementi con chi usera` la tecnologia per controllarci e per renderci schiavi di un mondo che non ci appartiene.

Copyright (C) 2002 isazi & RageMan

Sono permesse copia e distribuzione di questo articolo nella sua forma integrale con e attraverso qualsiasi mezzo a patto che rimangano invariati il copyright e questa nota.