tc-play, náhrada za truecrypt

25.10.2012 23:35 | Přečteno: 3439× | Linux |

Včera jsem narazil na projekt tc-play, a protože jsem si jeho základy už stihl osahat, je čas představit jej veleváženému publiku.

Začnu mírně zeširoka: před pár dny jsem si koupil externí disk na zálohování a začal přemýšlet, jak jej – nebo alespoň jeho část – šifrovat. Odbočka: úplně nejdřív jsem vybíral souborový systém: NTFS jsem zavrhl spolu s FAT32 (z ideologických i technických důvodů), ext[234] jsou zase dost blbě podporované ve windows. Zbyl mi UDF, s tím by si měly rozumět windows, Mac OS X a samozřejmě linux.

Mé nadšení z volby UDF vychladlo, když jsem zjistil v jakém stavu jsou UDF tools. Je to smutný stav. Souborový systém vytvořený pomocí mkudffs je pod windows nečitelný, zdrojový kód nástroje udffsck obsahuje následující sofistikovaný kód:

int main(int args, char *argv[])
{
  return 0;
}

Ale zpět k tc-play, truecryptu, šifrování a tak. Zadání znělo jasně: chci šifrovat pod linuxem a zároveň mít možnost přistupovat k datům i z windows. To, pokud vím, umí řešit jedině truecrypt. Ten má ale i pár nevýhod:

• poměrně restriktivní licenci, kvůli které je v Gentoo potřeba zdrojáky stahovat ručně,
• nutnost nainstalovat wxGTK,
• dokonce i s USE="-X" to pořád ještě chce nainstalovat wxGTK…

No, a pak jsem narazil na tc-play. Je to celkem plnohodnotná a kompatibilní náhrada za truecrypt určená pro Linux a DragonFly BSD. Nepotřebuje wxGTK. Umí pracovat se skrytými oddíly (používá to někdo?). Obejde se bez wxGTK! Kaskády šifer jsou podporované též. Už jsem se zmínil, že to nepotřebuje wxGTK?

Co je k potřeba

Potřeba je hlavně jádro s podporou device mapperu a šifrovacích a hashovacích algoritmů. Pokud máte takové to distribuční jádro s jedním milionem dvěma sty osmatřiceti tisíci čtyřmi sty padesáti moduly v /lib/modules, pak si nemusíte dělat starosti. Vy ostatní budete potřebovat mít zaškrtnuto Device Drivers → Multiple devices driver support (RAID and LVM) → Device mapper support. Pak ještě Cryptographic API → XTS support a používané šifrovací a hashovací algoritmy: třeba Whirlpool a AES. Dál bude třeba si tc-play přeložit, což (v prostředí linuxu) spočívá ve stažení (verze 0.10 je ke mání na githubu) a rozbalení zdrojáků a následném spuštění programu make. Pokud vám překlad spadne s chybou

io.c: In function ‘read_passphrase’:
io.c:388:3: warning: signed and unsigned type in conditional expression
io.c:388:3: warning: signed and unsigned type in conditional expression

pak v souboru Makefile najděte direktivu -Werror a odstraňte ji. Instalovat musíte svépomocí, žádný make install se nekoná.

Jak se tc-play používá

Vezme se blokové zařízení (třeba pokusná SD karta) a vytvoří se na ní šifrovaný oddíl. Jako hashovací funkci jem si zvolil whirlpool a jako šifrovací algoritmus AES s klíčem dlouhým 256 bitů a módem XTS:

tcplay -c -d /dev/mmcblk0p1 -a whirlpool -b AES-256-XTS -z
Passphrase: 
Repeat passphrase: 
Summary of actions:
 - Completely erase *EVERYTHING* on /dev/mmcblk0p1
 - Create volume on /dev/mmcblk0p1

 Are you sure you want to proceed? (y/n) y
Creating volume headers...
Depending on your system, this process may take a few minutes as it uses true random data which might take a while to refill
Writing volume headers to disk...
All done!

Pak se šifrovaný oddíl pomocí device mapperu namapuje na zvolené blokové zařízení (třeba na mmcblk0p1crypt):

tcplay -m mmcblk0p1crypt -d /dev/mmcblk0p1
Passphrase: 
All ok!

Zbývá vytvořit souborový systém:

mkfs.vfat /dev/mapper/mmcblk0p2crypt 
mkfs.vfat 3.0.12 (29 Oct 2011)
unable to get drive geometry, using default 255/63

a připojit:

mount /dev/mapper/mmcblk0p2crypt /mnt/sd

Takto vytvořený šifrovaný souborový systém lze pod windows připojit truecryptem a bez problémů tam použivat.        

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru