Palvelut

Levysalaus (Aalto-Linux)

Kaikissa Aalto Linux -kannettavissa on levysalaus, joka tukee koko levyn salausta.

Käyttöönotto

Levyn salauksen käyttöönottamiseksi koneelle täytyy tehdä täysin uusi asennus.

Jos teet asennuksen jo käytössä olevalle koneelle, muista siirtää koneella olevat tiedostot turvaan, sillä koko levy pyyhitään asennuksen yhteydessä.

1. Koneen aseentamiseksi, ole yhteydessä ylläpitäjään tai IT-palvelupisteeseen.

2. Asennuksen jälkeen ja ensimmäisellä käynnistyskerralla kone vaatii asettamaan levysalausen salasanan. Mieti hyvä salasana, koska valintasi on käytännössä lopullinen.

Linux encryption 1

3. Syötä salasana kaksi kertaa ja paina se mieleesi. Varo erikoisempia erikoismerkkejä salasanassa. Ubuntussa on pitkäikäinen, tunnettu bugi sen suhteen, että näppäinkartta saattaa vaihtua salasanan asettamisen ja kysymisen välillä.

Linux encryption 2
Linux encryption 3

4. Kun salasana on asetettu onnistuneesti, täytyy se syöttää vielä kerran levyn avaamiseksi.

Linux encryption 4
Linux encryption 5

5. Tästä eteenpäin kone käynnistyy tavalliseen tapaan.

Käyttö

Jokaisella käynnistymiskerralla kone kysyy levysalaus-salasanan ennen kuin käynnistyminen jatkuu.

Avainten käsittely (erikoistapaukset)

Normaaliolosuhteissa levysalaus-salasanoihin (avaimiin) ei tarvitse koskea.

Saatat tarvita alla olevia ohjeita mm. seuraavissa tapauksissa:

  • projektisi vaatii, että keskitettyä (konekohtaista) vara-avainta ei saa olla.
  • on tarpeen lisätä lisää avaimia, esim. yhteiskäyttöiseen kannettavaan.

Avaimia voi olla enintään seitsemän kappaletta. Avainten käsittelyyn tarvitaan root-oikeudet.  

LUKS-otsakkeen (header) tarkastelu

Esimerkiksi komennolla

cryptsetup luksDump /dev/sda5

näkyy tämäntapaisesti

LUKS header information for /dev/sda5

Version:        1

Cipher name:    aes

Cipher mode:    xts-plain64

Hash spec:      sha1

Payload offset: 4096

MK bits:        512

MK digest:      2d 20 db f4 d6 17 c3 5f eb f9 c9 eb 10 47 9d 1d 55 7e d8 4a

MK salt:        7e 0b 22 20 38 fa 76 0e 65 36 93 b7 9e cf b4 c0

                ed 38 f7 e4 77 97 06 75 43 ce 87 a4 a9 a1 7d 72

MK iterations:  46500

UUID:           21bf98d4-27e3-409d-ad12-1c0b156b992e

Key Slot 0: ENABLED

        Iterations:             189069

        Salt:                   cc 6f 1b 78 b4 53 7f a6 6a 0b cb cb 93 17 1f 87

                                0d 84 31 58 b8 35 b1 9d e1 b2 d6 84 91 d2 ee c0

        Key material offset:    8

        AF stripes:             4000

Key Slot 1: ENABLED

        Iterations:             237476

        Salt:                   41 68 0d 7d d4 e4 6f e6 f5 2a 3e 9d 30 75 96 27

                                69 0c 12 c8 f1 fc d3 11 5b 61 eb c9 c6 7a 9a 02

        Key material offset:    512

        AF stripes:             4000

Key Slot 2: DISABLED

Key Slot 3: DISABLED

Key Slot 4: DISABLED

Key Slot 5: DISABLED

Key Slot 6: DISABLED

Key Slot 7: DISABLED

Avaimen poisto

Alla <n> on slotin numero... keskitetty vara-avain on slot 1:ssa.

Alla <device> on useimmiten Aalto-Linuxissa /dev/sda5 mutta poikkeustapauksessa se voi olla joku muu.

cryptsetup luksKillSlot <device> <n>

Avaimen lisäys

cryptsetup luksAddKey <device>

Avaimen vaihto

cryptsetup luksChangeKey <device>

releted instructions

Tietoturva Aalto-yliopistossa

Muista huolehtia tietoturvastasi!

A person checking phone
Tätä palvelua tarjoaa:

IT-palvelut

Löysitkö tästä tarvitsemasi tiedon? Jos et, ota meihin yhteyttä.
  • Julkaistu:
  • Päivitetty:
Jaa
URL kopioitu