Vollständige Festplattenverschlüsselung mit dm-crypt (ohne LUKS)

8

Ich versuche derzeit, eine vollständige Festplattenverschlüsselung mit dm-crypt im einfachen Modus ohne LUKS-Header mit einem separaten /bootUSB-Stick zu erreichen.

Mein Hauptziel ist es, eine plausible Verleugnung in einer Debian-basierten Distribution zu erreichen. Im Moment habe ich es geschafft, Partitionen mit einem separaten USB-Stick zu verschlüsseln cryptsetupund /bootauf einem separaten USB-Stick zu installieren . Alles läuft wie es sollte und da der Header für die Verschlüsselung nicht in LUKS gespeichert ist, muss ich ihn manuell auf dem initramfs-Bildschirm eingeben, aber in diesem Schritt erhalte ich einfach eine Fehlermeldung, die angibt, dass in initramfs ("/ bin /" kein Cryptsetup vorhanden ist sh: cryptsetup: not found ") beim Versuch, den Header zu analysieren.

Abschließend:

  • dev/sdaverschlüsselt mit dm-crypt( /rootund /homeVolumes) mit:
cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda
  • dev/sdb Boot-Stick mit installiertem Maden

Ich kann erfolgreich vom Bootstick booten. Ich sehe den Ubuntu-Begrüßungsbildschirm für ungefähr 20 Sekunden, was ich für eine plausible Verleugnung erreichen wollte, und dann fällt er auf die Initramfs, die sich darüber beschweren, dass sie nicht finden können /dev/mapper/root- was ich auch erreichen wollte.

Das Problem ist, dass sich das initramfs über "cryptsetup: not found" beschwert, wenn ich die Cryptsetup-Zeile analysieren möchte, in der ich ein Kennwort eingeben und mit dem Booten fortfahren kann.

Ich denke, diese Beschwerde ist wahr. Meine Frage ist: Wie installiere ich cryptsetup in den initramfs, damit ein weiteres Booten für die Passwortabfrage möglich ist?

Außerdem weiß ich , dass ich etwas ausgelassen mit Zugabe der entsprechenden Einträge in /etc/fstab, /etc/crypttabund Geräte werden nicht während des Starts gefunden.

Dies sind die Anleitungen, die ich gefunden und zum Einrichten aller aktuellen Konfigurationen verwendet habe. Vielleicht werden dadurch Dinge geklärt, die ich in meiner Frage nicht behandelt habe:

Der erste ist etwas veraltet und der zweite ist für Arch Linux, aber ich habe zwei davon mit der neuesten Lubuntu-Installation mit kleinen Anpassungen verwendet.

Grummet
quelle
1
Warten Sie auf die TrueCrypt-Gabel und stellen Sie eine Funktionsanfrage ...
RobotHumans

Antworten:

2

Gemäß initramfs-tools (8) kann man dem initrd-Image Programme hinzufügen, indem man beispielsweise einem Hook-Skript Folgendes hinzufügt :

copy_exec / sbin / cryptsetup / sbin

Beispiel-Hook-Skripte, die in /usr/share/initramfs-tools/hooksund auf meinem Ubuntu-System zu finden sind, /usr/share/initramfs-tools/hooks/cryptrootergänzen /sbin/cryptsetupdas initrdImage tatsächlich .

Beispiel:

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
=> Noch kein Cryptsetup enthalten.

$ cat / etc / initramfs-tools / hooks / fde
#! / bin / sh

. / usr / share / initramfs-tools / hook-Funktionen
copy_exec / sbin / cryptsetup / sbin

$ sudo chmod 0755 / etc / initramfs-tools / hooks / fde
$ sudo update-initramfs -u

$ gzip -dc /boot/initrd.img-`uname -r` | cpio -tv 2> / dev / null | grep cryptsetup
-rwxr-xr-x 1 root root 59248 21. August 04:04 sbin / cryptsetup
-rw-r - r-- 1 root root 158848 21. August 04:04 lib / x86_64-linux-gnu / libcryptsetup.so.4
ckujau
quelle