[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Consigli su volumi criptati su LVM e RAID


On 08/12/2018 02:40 AM, Felipe Salvador wrote:
> On Sat, Aug 11, 2018 at 05:13:26PM +0200, gerlos wrote:
>> In ultimo, vi chiedo una conferma: nel momento in cui dovessi
>> dismettere i dischi criptati, per rendere inaccessibili i dati sarebbe
>> sufficiente azzerare i primi MB dei dischi, giusto?
> 
> Non ne ho idea, immagino di si, spesso immaginare non basta.
> 
> Io non so se LUKS utilizzi dei meccanismi per permettere un eventuale
> recupero dei dati o se cancellando i primi MB si perda tutto per
> sempre, quindi:
> 
> https://www.kali.org/tutorials/nuke-kali-linux-luks/
> 
> Mi pare un metodo valido, se non altro un alternativa assennata al "io speriamo
> che ho cancellato tutto".

Se sai quanto è grande l'header e sovrascrivi solo quello hai già reso
il disco irrecuperabile salvo backup dell'header.
ovviamente se scrivi un po di piu male non fa, quindi su un disco con
una sola partizione luks, scrivere roba pseudorandomica  sul primo giga
o sui primi 10 giga e già molto piu che sufficiente in quanto davvero il
disco perde di significato senza l'header.

perchè parlo di singola partizione? perchè cominciando a sovrascrivere
dall'inizio del disco, il blocco verrebbe sicuramente sovrascritto,
altrimenti c'è da andare a capire dove si trova e mettere l'offset
appropriato in fase di cancellazione se la partizione criptata ha
l'inizio buttato in giro nel disco tra altre partizioni

per i nuke slots di cryptsetup serve ovviamente una versione
appositamente patchata, e attualmente le uniche 2 distro di cui sono a
conoscenza che integrano la patch sono kali [1] e parrot [2]
la patch [3] è uguale per entrambe.

una nota importante da fare sulla patch è che anche qualora andasse bene
per un uso generico, è quasi inutile in caso lo storage venga sottoposto
ad una corretta procedura forense in quanto dopo l'acquisizione bit per
bit del drive, tutte le prove verrebbero fatte su copie dell'originale,
e qualsiasi dump del blocco chiavi verrebbe ripristinato, motivo per cui
la patch non è stata mai accettata in upstream e viene considerata piu
un giocattolo che una feature.

un'attenta lettura alla sezione 5.21 della FAQ di cryptsetup [4] è
d'obbligo!



[1] http://kali.mirror.garr.it/mirrors/kali/pool/main/c/cryptsetup/
[2] http://parrot.mirror.garr.it/mirrors/parrot/pool/main/c/cryptsetup/
[3]
https://dev.parrotsec.org/parrot/cryptsetup/blob/master/debian/patches/cryptsetup_nuke_keys.patch
[4] https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions

-- 
Lorenzo "Palinuro" Faletra

Parrot Security

GPG FINGERPRINT: B350 5059 3C2F 7656 40E6  DDDB 97CA A129 F4C6 B9A4

GPG Info: http://pgp.mit.edu/pks/lookup?op=vindex&search=0x97CAA129F4C6B9A4
GPG Key: http://pgp.mit.edu/pks/lookup?op=get&search=0x97CAA129F4C6B9A4
Reply to: