Crittografia / Linux / Sicurezza · 15 August 2008 0

Encrypted Private Directories su Ubuntu 8.10 (e 8.04?)

Leggevo di una delle tante novità che verranno introdotte con il prossimo Ubuntu 8.10. Una di queste sono le Encrypted Private Directories, vale a dire cartelle personali cifrate dove l’utente potrà salvare dati sensibili.

Come funzionano? Le Encrypted Private Directories sono gestite tramite eCryptFs, un modulo integrato nel kernel che permette di creare filesystem virtuali cifrati on-the-fly, vale a dire al volo: i dati vengono crittografati durante la scrittura e decrittati durante la lettura, in maniera del tutto trasparente per l’utente (come avviene, ad esempio, con Truecrpyt).

Al momento del login, la password dell’utente verrà utilizzata per decrittare una passphrase (generata casualmente) che sarà utilizzata per montare crittograficamente la cartella ~/.Private su ~/Private grazie all’uso di eCryptFs. Per gli utenti meno esperti, cerco di esporre la cosa in termini semplici: i dati su ~/.Private sono cifrati e vengono forniti “in chiaro” dal filesystem nella cartella ~/Private all’utente. L’utente che salvi qualcosa in ~/Private in realtà sta salvando i dati in maniera cifrata su ~/.Private (e viceversa, nel caso di lettura degli stessi).

La comodità di questo sistema risiede nel fatto che l’utente non deve fornire una seconda password (come nel caso di Truecrypt) per montare la cartella cifrata: basta quella fornita al momento del login. Un’altra comodità risiede nel fatto che l’utente può sempre eseguire una copia di sicurezza dei suoi dati semplicemente eseguendo un backup della cartella ~/.Private.

Adesso venimo a noi e cerchiamo di capire se possiamo utilizzare questa tecnologia anche su Ubuntu 8.04. Effettivamente, nei repository ufficiali sono presenti tutti gli strumenti necessari al test. Quindi, procediamo…

  • apriamo un terminale ed installiamo i pacchetti ‘ecryptfs-utils’ e ‘auth-client-config’:
    sudo apt-get install ecryptfs-utils auth-client-config

  • fatto questo, lanciamo il comando ‘auth-client-config’ per configurare PAM:
    sudo auth-client-config -p ecryptfs_standard -t pam-auth,pam-session,pam-password

  • adesso eseguiamo come utente normale il comando ‘ecryptfs-setup-private’:ecryptfs-setup-private

Personalmente non ho provato la procedura ma ho letto di chi l’ha testata. Bisogna precisare però che il sistema è in fase avanzata di implementazione e dovrebbe funzionare senza intoppi ma, come sempre nei casi in cui si sta affrontando il problema di dati cifrati, questi sono potenzialmente esposti al rischio di perdite accidentali. Quindi, non affidate alla cartella cifrata cose di cui potreste pentirvi in caso di perdita…