Kali Linux フルディスク暗号化
侵入テスト担当者は、ラップトップに機密データを保存して移動する必要があることがよくあります。もちろん、最も機密性の高い資料を含む傾向がある Kali Linux マシンを含め、可能な限りフル ディスク暗号化を使用しています。
Kali を使用したフルディスク暗号化の設定は簡単なプロセスです。 Kali インストーラーには、LVM と LUKS を使用して暗号化されたパーティションをセットアップするための簡単なプロセスが含まれています。暗号化されると、Kali オペレーティング システムは起動時にパスワードを要求して、OS がドライブを起動して復号化できるようにし、ラップトップが盗まれた場合にこのデータを保護します。復号化キーとパーティションの管理は、cryptsetup ユーティリティを使用して行います。
Kali Linux FDE インストールの Nuking
数日前、私たちの 1 人が、Kali のインストールに「nuke」オプションを追加するというアイデアを思いつきました。言い換えれば、ドライブ上のデータを復号化するのではなく、破壊する起動パスワードを持っているということです。後でいくつかの Google 検索を行ったところ、Juergen Pabel による古い cryptsetup パッチが見つかりました。これは、cryptsetup に「nuke」パスワードを追加するもので、使用するとすべてのキースロットが削除され、ドライブ上のデータにアクセスできなくなります。このパッチを cryptsetup の最新バージョンに移植し、Github に投稿しました。
LUKS Nuke パッチのテスト
このパッチを基本イメージに適用する前にユーザーからのフィードバックを収集したかったため、この機能は Kali にはまだ実装されていません。自分で試してみたい場合は、こちらのビルド手順をご覧ください。 Kali で LVM 暗号化インストールを実行することから始め、復号化パスワードを設定します。完了したら、cryptsetup パッケージ ソースをダウンロードし、パッチを適用します。次のように、パッチを適用したパッケージのビルドに進みます:
[email protected]:~# apt-get source cryptsetup
[email protected]:~# git clone https://gitlab.com/kalilinux/packages/cryptsetup-nuke-keys
[email protected]:~# cd cryptsetup-1.6.1/
[email protected]:~/cryptsetup-1.6.1# patch -p1 < ../cryptsetup-nuke-keys/cryptsetup_1.6.1+nuke_keys.diff
patching file lib/libcryptsetup.h
patching file lib/luks1/keymanage.c
patching file lib/setup.c
patching file src/cryptsetup.c
[email protected]:~/cryptsetup-1.6.1# dpkg-buildpackage -b -uc
パッケージがビルドされたら、cryptsetup パッケージをインストールして nuke を取得します 実装されたオプション:
[email protected]:~/cryptsetup-1.6.1# ls -l ../*crypt*.deb
-rw-r--r-- 1 root root 149430 Jan 4 21:34 ../cryptsetup_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 250616 Jan 4 21:34 ../cryptsetup-bin_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 105226 Jan 4 21:34 ../libcryptsetup4_1.6.1-1kali0_amd64.deb
-rw-r--r-- 1 root root 49580 Jan 4 21:34 ../libcryptsetup-dev_1.6.1-1kali0_amd64.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../libcryptsetup*.deb
[email protected]:~/cryptsetup-1.6.1# dpkg -i ../cryptsetup*.deb
パッチを適用した cryptsetup パッケージがインストールされたので、セットアップに「nuke」キーを追加できます。
[email protected]:~# cryptsetup luksAddNuke /dev/sda5
Enter any existing passphrase: (existing passphrase)
Enter new passphrase for key slot: (nuke passphrase)
やあ、私のドライブはどこ?
その後の再起動では、いつものように毎回 LUKS 復号化パスワードを求められます。何らかの理由で核のパスワードを入力すると、保存されたキーが消去され、データにアクセスできなくなります。このパッチを cryptsetup パッケージに実装する必要がありますか?この簡単な投票であなたの考えを教えてください。この投票は数週間開いたままにし、この機能の今後の開発についてお知らせします。
Cryptseup Nuke Option in Kali
Add nuke features to cryptsetup ?*
- [ ] Yes, add this feature!
- [ ] Stop bothering me
- [ ] No, leave cryptsetup alone.
更新: nuke パッチが Kali Linux に導入され、Kali Linux v1.0.6 でデフォルトで利用可能です。
更新: Nuke 機能の使用例は、後の「暗号化された Kali Linux インストールを nuke する方法」ブログ投稿に投稿しました。
更新: 2019 年 7 月の時点で、Kali Linux はこの cryptsetup パッチを出荷しなくなりました。代わりに、cryptsetup を変更せずに同様の機能を提供する cryptsetup-nuke-password パッケージを導入しました。
[email protected]:~# apt install cryptsetup-nuke-password
[email protected]:~# dpkg-reconfigure cryptsetup-nuke-password