Kali Linux Full Disk Encryption
Als Penetrationstester müssen wir oft mit sensiblen Daten reisen, die auf unseren Laptops gespeichert sind. Natürlich verwenden wir wo immer möglich eine vollständige Festplattenverschlüsselung, einschließlich unserer Kali-Linux-Maschinen, die tendenziell die sensibelsten Materialien enthalten.
Das Einrichten der vollständigen Festplattenverschlüsselung mit Kali ist ein einfacher Vorgang. Das Kali-Installationsprogramm enthält einen einfachen Prozess zum Einrichten verschlüsselter Partitionen mit LVM und LUKS. Nach der Verschlüsselung benötigt das Kali-Betriebssystem beim Booten ein Passwort, damit das Betriebssystem booten und Ihr Laufwerk entschlüsseln kann, wodurch diese Daten geschützt werden, falls Ihr Laptop gestohlen wird. Die Verwaltung von Entschlüsselungsschlüsseln und Partitionen erfolgt mit dem Dienstprogramm cryptsetup.
Nuking unserer Kali Linux FDE-Installation
Vor ein paar Tagen hatte einer von uns die Idee, unserer Kali-Installation eine „Nuke“-Option hinzuzufügen. Mit anderen Worten, ein Boot-Passwort zu haben, das die Daten auf unserem Laufwerk zerstört, anstatt sie zu entschlüsseln. Ein paar Google-Suchen später fanden wir einen alten Cryptsetup-Patch von Juergen Pabel, der genau das tut, indem er ein „Nuke“-Passwort zu Cryptsetup hinzufügt, das bei Verwendung alle Keyslots löscht und die Daten auf dem Laufwerk unzugänglich macht. Wir haben diesen Patch für eine neuere Version von cryptsetup portiert und auf Github veröffentlicht.
Testen des LUKS-Nuke-Patches
Diese Funktion ist in Kali noch nicht implementiert, da wir einige Benutzerrückmeldungen sammeln wollten, bevor wir diesen Patch auf Basisbilder anwenden. Wenn Sie es selbst ausprobieren möchten, finden Sie hier die Bauanleitung. Führen Sie zunächst eine LVM-verschlüsselte Installation in Kali aus und legen Sie ein Entschlüsselungskennwort fest. Wenn Sie fertig sind, laden Sie die Quelle des cryptsetup-Pakets herunter und wenden Sie unseren Patch darauf an. Fahren Sie wie folgt fort, um das gepatchte Paket zu erstellen:
[email protected]:~# apt-get source cryptsetup
[email protected]:~# git clone https://gitlab.com/kalilinux/packages/cryptsetup-nuke-keys
[email protected]:~# cd cryptsetup-1.6.1/
[email protected]:~/cryptsetup-1.6.1# patch -p1 < ../cryptsetup-nuke-keys/cryptsetup_1.6.1+nuke_keys.diff
patching file lib/libcryptsetup.h
patching file lib/luks1/keymanage.c
patching file lib/setup.c
patching file src/cryptsetup.c
[email protected]:~/cryptsetup-1.6.1# dpkg-buildpackage -b -uc
Nachdem das Paket erstellt wurde, installieren Sie die cryptsetup-Pakete, um unser nuke zu erhalten Option implementiert:
[email protected]:~/cryptsetup-1.6.1# ls -l ../*crypt*.deb
-rw-r--r-- 1 root root 149430 Jan 4 21:34 ../cryptsetup_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 250616 Jan 4 21:34 ../cryptsetup-bin_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 105226 Jan 4 21:34 ../libcryptsetup4_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 49580 Jan 4 21:34 ../libcryptsetup-dev_1.6.1-1kali0_amd64.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../libcryptsetup*.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../cryptsetup*.deb
Nachdem unser gepatchtes cryptsetup-Paket installiert wurde, können wir fortfahren und unserem Setup einen „Nuke“-Schlüssel hinzufügen:
[email protected]:~# cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: (existing passphrase)
Enter new passphrase for key slot: (nuke passphrase)
Hey Alter, wo ist mein Laufwerk?
Bei allen nachfolgenden Neustarts werden Sie wie gewohnt jedes Mal nach dem LUKS-Entschlüsselungspasswort gefragt. Wenn Sie aus irgendeinem Grund das Nuke-Passwort eingeben würden, würden die gespeicherten Schlüssel gelöscht, wodurch die Daten unzugänglich würden. Sollten wir diesen Patch in das cryptsetup-Paket implementieren? Teilen Sie uns Ihre Meinung über diese kurze Umfrage mit. Wir werden diese Umfrage für ein paar Wochen offen halten und Sie über weitere Entwicklungen dieser Funktion auf dem Laufenden halten.
Cryptseup Nuke Option in Kali
Add nuke features to cryptsetup ?*
- [ ] Yes, add this feature!
- [ ] Stop bothering me
- [ ] No, leave cryptsetup alone.
Aktualisierung: Der Nuke-Patch wurde in Kali Linux eingeführt und ist standardmäßig in Kali Linux v1.0.6 verfügbar.
Aktualisierung: Wir haben einen beispielhaften Anwendungsfall für die Nuke-Funktion in einem späteren Blogbeitrag „Wie Sie Ihre verschlüsselte Kali-Linux-Installation nukleieren“ veröffentlicht.
Aktualisierung: Ab Juli 2019 liefert Kali Linux diesen cryptsetup-Patch nicht mehr aus, stattdessen haben wir ein cryptsetup-nuke-password-Paket eingeführt, das eine ähnliche Funktion bietet, ohne cryptsetup zu ändern.
[email protected]:~# apt install cryptsetup-nuke-password
[email protected]:~# dpkg-reconfigure cryptsetup-nuke-password