Una delle più interessanti novità che avevano annunciato per Ubuntu 9.04 Jaunty Jackalope (e che era stata testata in via ridotta su Intrepid) era la possibilità di cifrare l’intera cartella /home.
Durante i test delle varie versioni beta di Jaunty non ero però mai riuscito ad attivare tale funzione: non riuscivo a trovare l’opzione. L’opzione, infatti, è nascosta: per attivarla bisogna agire manualmente in Grub affinché si possa scegliere, in fase di installazione, di avere la propria cartella personale messa in sicurezza.
Come fare? Basta avviare il live CD di Ubuntu e, dopo aver scelto la propria lingua, premere, nell’ordine, il tasto F6 per richiamare le opzioni aggiuntive di boot e poi il tasto ESC per accedere alla linea di comando di Grub. A questo punto vedremo apparire una serie di parametri di boot terminanti con “–” (due trattini). Ecco, questo è il punto in cui inserire il parametro per far apparire l’opzione di cifratura della /home, esattamente prima dei trattini:
user-setup/encrypt-home=true
Premete Invio ed iniziate il caricamento di Ubuntu, poi scegliete di eseguire l’installazione e partizionate manualmente il disco, riservando una partizione con punto di montaggio /home. Proseguendo, nella finestra di inserimento delle informazioni dell’utente, vedrete in fondo ad essa una nuova voce che indicherà la scelta di richiedere una password di login e di decifratura della cartella personale. E’ obbligatorio scegliere questa opzione perché il meccanismo che gestisce la cifratura è collegato al sistema di login dell’utente: inserendo la propria password utente viene sbloccata anche la passphrase che è utilizzata per cifrare i dati. L’auto-login non può essere utilizzato perché non inserendo nessuna password il sistema non sbloccherebbe la /home.
Rispetto a quanto era stato testato su Intrepid (la cifratura di una singola cartella /Private all’interno della /home) il sistema è stato affinato ed ora la cifratura è completa, comprendendo anche i nomi dei file. Ciò significa che se il vostro portatile finisce delle mani di un malintenzionato che cerca di accedere ai vostri dati tramite un live CD, egli non solo non potrà recuperare alcunché ma non sarà neanche in grado di risalire ai file contenuti nella cartella.
Il sistema, come ad esempio Truecrypt, cifra al volo le informazioni ed è assolutamente trasparente all’utente: il meccasismo di login sblocca i dati cifrati, che sono resi “leggibili” mediante decifratura durante l’accesso in lettura e cifrati durante la scrittura, il tutto eseguito in tempo reale.
Sorge spontanea la domanda: ma se il sistema è sicuro ed affidabile perché non ne è stata inserita di default la voce per attivarlo? Perché, come spiega uno degli sviluppatori, la necessità di sviluppare la versione server di Jaunty ha bloccato lo sviluppo del sistema che, allo stato attuale, non può importare impostazioni e documenti da altri sistemi operativi.
Grazie! Ci metto un bel segnalibro. 🙂
questo sistema lascia non cifrato lo swap, che naturalmente contiene molte informazioni, e la partizione root, che può contenere file di impostazione, o peggio ancora il contenuto (di nuovo sensibile) di siti in fase di sviluppo (lampp si installa all’interno della partizione root)
come spesso accade, meglio non dare queste false sensazioni di “sicurezza”… poi se uno vuole lasciare la password su un post-it sul monitor è sempre libero